YellowKey, GreenPlasma, RedSun: Tři neoplátované zero-day zranitelnosti ve Windows, které teď řeší celý bezpečnostní svět
Představte si, že někdo přijde do vaší kanceláře, zapojí USB flash disk do pracovního notebooku a za pět minut odejde s přístupem ke všem datům na zašifrovaném disku. Nebo že zaměstnanec bez administrátorských práv spustí na firemním počítači skript a získá plnou kontrolu nad operačním systémem — bez jediného upozornění od antivirového softwaru, bez jakéhokoli záznamu, který by něco napovídal.
Tohle nejsou hypotetické scénáře. Jsou to reálné útočné vektory, které existují dnes, mají veřejně dostupný kód — a na žádný z nich zatím neexistuje záplata od Microsoftu.
Jmenují se YellowKey, GreenPlasma a RedSun. Všechny tři zveřejnil tentýž výzkumník pod přezdívkami Nightmare-Eclipse a Chaotic Eclipse — a všechny tři jsou výsledkem jeho dlouhodobé frustrace z toho, jak Microsoft reaguje na nahlášené bezpečnostní chyby. Nebo spíše — nereaguje.
Co je zero-day a proč je tahle situace jiná
Než se ponoříme do detailů: zero-day znamená, že zranitelnost existuje, ale výrobce softwaru ji dosud neopravil. Útočníci mají funkční exploit, zatímco správci systémů na patch stále čekají.
V tomto případě jde o něco navíc. Všechny tři exploity jsou veřejně dostupné na GitHubu jako funkční kód. To znamená, že útočník nepotřebuje být bezpečnostní expert — stačí stáhnout a spustit. Právě to z těchto zranitelností dělá okamžitou hrozbu i pro firmy, které nejsou primárním cílem sofistikovaných skupin.
YellowKey — BitLocker přestává chránit vaše data
O co jde
BitLocker je šifrování disku zabudované přímo do Windows. Pokud má váš notebook BitLocker aktivní, mělo by platit, že útočník, který ho ukradne nebo získá krátký fyzický přístup, se k datům nedostane — disk je zašifrovaný.
YellowKey tuto ochranu obchází. Útočník nepotřebuje znát heslo ani PIN. Nepotřebuje prolomit šifrování. Stačí mu USB flash disk se speciálně připravenými soubory a pět minut u vašeho počítače.
Technická karta
Parametr | Hodnota |
|---|---|
Název | YellowKey |
Typ zranitelnosti | BitLocker bypass přes WinRE |
CVE | Nepřiděleno — Microsoft zranitelnost zatím oficiálně neuznal |
CVSS skóre | Není přiděleno — odborný odhad: ~6.1–6.8 (AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N) |
Vyžaduje fyzický přístup | Ano — přímý přístup k zařízení nebo k pevnému disku |
Vyžaduje heslo/přihlášení | Ne |
Veřejný exploit (PoC) | Ano — dostupný na GitHubu od 12. 5. 2026 |
Aktivně zneužíváno | Potvrzena aktivní exploitace ve volné přírodě |
Patch | Neexistuje |
Vyjádření Microsoftu | „Aktivně zkoumáme platnost a dopad těchto tvrzení" |
Jak útok probíhá
YellowKey zneužívá chybu ve Windows Recovery Environment (WinRE) — záchranném prostředí, do kterého se Windows spouštějí při opravě nebo obnově systému. Konkrétně jde o způsob, jakým WinRE zpracovává logy transakcí souborového systému NTFS ze složky FsTx na připojeném disku.
Útok v praxi probíhá takto: útočník si připraví USB disk se speciálně upravenou složkou FsTx, zapojí ho do cílového počítače a restartuje do WinRE — buď přerušením bootování, nebo přes Shift+Restart. Při načítání prostředí drží klávesu CTRL a místo zamčeného záchranného menu se otevře příkazový řádek. BitLockerem chráněný disk je v tu chvíli automaticky odemčený.
Pokud má útočník možnost vytáhnout pevný disk z notebooku na chvíli k sobě, může FsTx složku zapsat přímo na EFI systémovou partition. V takovém případě exploit proběhne při dalším normálním spuštění počítače — bez USB disku a bez přítomnosti útočníka.
Jaké operační systémy jsou ohroženy
Zranitelnost se týká počítačů a serverů s Windows 11 ve všech vydáních, dále Windows Serveru 2022 a Windows Serveru 2025. Riziko se týká konkrétně zařízení, kde je BitLocker nakonfigurován v režimu automatického odemčení přes TPM bez zadání PIN kódu — a to je bohužel výchozí nastavení u naprosté většiny firemních notebooků.
Co útočník po úspěšném útoku může dělat
Přečíst, zkopírovat nebo smazat veškerý obsah zašifrovaného disku. Nainstalovat malware přímo do systémových souborů. Získat uložená hesla, certifikáty a kryptografické klíče — tedy vše, co bylo dosud považováno za chráněné šifrováním.
GreenPlasma — eskalace privilegií přes systémový proces CTFMON
O co jde
GreenPlasma je druhá zranitelnost od stejného výzkumníka, zveřejněná den po YellowKey, 13. května 2026. Útočník, který se na počítač dostane jako běžný uživatel — například přes phishingový e-mail nebo kompromitovaný účet — může pomocí GreenPlasma získat práva SYSTEM, tedy nejvyšší úroveň oprávnění v celém operačním systému.
Technická karta
Parametr | Hodnota |
|---|---|
Název | GreenPlasma |
Typ zranitelnosti | Eskalace privilegií (Local Privilege Escalation) přes CTFMON |
CVE | Nepřiděleno — Microsoft zranitelnost zatím oficiálně neuznal |
CVSS skóre | Není přiděleno — odborný odhad: ~7.8 (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) |
Vyžaduje fyzický přístup | Ne — stačí vzdálený nebo lokální přístup k účtu s nízkými oprávněními |
Vyžaduje heslo/přihlášení | Ano — útočník musí být přihlášen jako libovolný uživatel |
Veřejný exploit (PoC) | Částečně — zveřejněn záměrně nekompletní kód (chybí finální komponenta) |
Aktivně zneužíváno | Dosud nepotvrzeno v samostatném scénáři |
Patch | Neexistuje |
Vyjádření Microsoftu | „Aktivně zkoumáme platnost a dopad těchto tvrzení" |
Jak útok probíhá
CTFMON (ctfmon.exe) je systémový proces Windows, který běží v každé interaktivní relaci a zpracovává textový vstup. Protože běží s právy SYSTEM, je zajímavým cílem pro každého, kdo chce tato práva získat.
GreenPlasma zneužívá způsob, jakým Windows spravuje pojmenované objekty v jádrovém jmenovém prostoru (Object Manager). Útočník umístí symbolický odkaz na místo, kde privilegovaný systémový proces CTFMON očekává objekt CTF relace. Když tento proces objekt otevře, ve skutečnosti narazí na útočníkem kontrolované místo v paměti.
Kombinací dvou technik — symlink na CTF session objekt a zneužití registry odkazů přes CloudFiles politiku — je možné donutit systémový proces, aby s právy SYSTEM zapsal nebo spustil kód dodaný útočníkem.
Veřejně dostupný kód je záměrně nekompletní. Výzkumník ale explicitně napsal: „Pokud víte, co děláte, z tohoto lze sestavit plnou eskalaci privilegií." Pro zkušeného útočníka tedy nejde o nepřekonatelnou překážku.
Jaké operační systémy jsou ohroženy
Zranitelnost se týká Windows 11 ve všech vydáních a serverových systémů Windows Server 2022 a Windows Server 2025.
RedSun — Microsoft Defender jako nástroj útočníka
O co jde
RedSun je ze tří popsaných zranitelností pravděpodobně nejzávažnější — a zároveň nejabsurdnější. Zneužívá přímo Microsoft Defender, tedy antivirový software, který má počítač chránit. Software, o kterém si uživatelé myslí, že je na jejich straně, se stává vstupní branou pro útok.
Zranitelnost funguje na plně záplatovaném Windows 10 i Windows 11 a úspěšnost exploitu je odhadována na přibližně sto procent. Defender je přitom aktivní na prakticky každém Windows zařízení — buď jako primární ochrana, nebo jako záloha vedle jiného bezpečnostního softwaru.
Aktivní zneužívání v reálných útocích bylo potvrzeno od 16. dubna 2026. Jde tedy o hrozbu, která je v tuto chvíli živá.
Technická karta
Parametr | Hodnota |
|---|---|
Název | RedSun |
Typ zranitelnosti | Eskalace privilegií (Local Privilege Escalation) přes Microsoft Defender |
CVE | Příbuzná zranitelnost BlueHammer má CVE-2026-33825 — RedSun je samostatná technika bez přiděleného CVE. Odkaz na Microsoft MSRC: CVE-2026-33825 |
CVSS skóre | 7.8 High (přiřazeno příbuzné BlueHammer; RedSun dosud bez vlastního hodnocení) |
Vyžaduje fyzický přístup | Ne |
Vyžaduje heslo/přihlášení | Ano — útočník musí být přihlášen jako libovolný uživatel bez administrátorských práv |
Veřejný exploit (PoC) | Ano — plně funkční, dostupný od 16. 4. 2026 |
Aktivně zneužíváno | Potvrzeno — reálné útoky zaznamenány od dubna 2026 |
Patch | Neexistuje (BlueHammer bylo záplatováno, RedSun nikoli) |
Vyjádření Microsoftu | Zatím bez samostatného vyjádření k RedSun |
Jak útok probíhá
Defender má funkci, která při detekci škodlivého souboru označeného cloudovým tagem takový soubor „obnoví" zpět na disk na původní místo. Tato operace probíhá s právy NT AUTHORITY\SYSTEM. Zásadní chyba spočívá v tom, že Defender neověřuje, zda cílová cesta nebyla podvržena.
RedSun tuto mezeru zneužívá takto: útočník nejprve vytvoří soubor, který v Defenderu spustí detekci. Soubor je pak nahrazen cloudovým zástupným symbolem přes Windows Cloud Files API. Defender zahájí rollback — pokusí se soubor obnovit. Útočník mezitím pomocí NTFS junction a takzvaného opportunistic lock pozastaví operaci obnovy a přesměruje cílovou cestu do C:\Windows\System32. Defender dokončí zápis s právy SYSTEM — jenže soubor skončí v systémovém adresáři, nikoli na původním místě.
Útočník pak nahradí systémový soubor TieringEngineService.exe vlastním kódem a aktivuje ho přes rozhraní COM. Výsledek je shell s právy SYSTEM — bez administrátorských oprávnění, bez interakce uživatele, bez jakéhokoli viditelného upozornění.
Jaké operační systémy jsou ohroženy
Prakticky každý Windows počítač nebo server s povoleným Defenderem: Windows 10 ve všech verzích, Windows 11 ve všech verzích, Windows Server 2016, 2019, 2022 a 2025. Jde tedy o enormní rozsah potenciálně zasažených zařízení.
Co dělat teď — ještě před vydáním patche
Patch neexistuje, ale to neznamená, že nemáte žádné možnosti. Správně nastavená opatření mohou exploit buď zablokovat úplně, nebo ho výrazně ztížit.
Opatření pro YellowKey
Nejúčinnějším krokem, který můžete udělat dnes, je zapnout TPM+PIN na všech zařízeních s citlivými daty. YellowKey se spoléhá na automatické odemčení disku při startu systému — pokud je vyžadováno zadání PIN kódu, exploit vůbec nefunguje. Toto je v tuto chvíli nejdůležitější mitigace.
Ověřte si aktuální konfiguraci BitLockeru na vašich zařízeních příkazem manage-bde -protectors -get C:. Pokud vidíte pouze TPM, je čas přidat PIN.
Zvažte také zakázání WinRE na zařízeních, kde to provoz dovolí (reagentc /disable). Celá chyba leží uvnitř WinRE — bez něj exploit nemá kde běžet. A fyzicky zabezpečte počítače s citlivými daty: kabelové zámky, uzamčené místnosti, evidence pohybu zařízení.
Vypnutí bootování z USB v nastavení BIOS/UEFI situaci mírně zlepší, ale neřeší ji — varianta útoku přes EFI partition funguje i bez USB disku.
Opatření pro GreenPlasma
Klíčem je application allowlisting — tedy politika, která povolí spouštět pouze schválené aplikace. Windows Defender Application Control nebo AppLocker dokáží zabránit tomu, aby se neautorizovaný kód vůbec spustil. Bez spuštění útočného kódu celý exploit ztrácí smysl.
Zároveň si projděte, kdo ve firmě má vyšší lokální oprávnění, než je nezbytně nutné. GreenPlasma potřebuje nejprve přihlášeného uživatele — čím méně oprávnění tento uživatel má, tím menší je dopad případného útoku.
V EDR nastavte monitorování neobvyklých interakcí procesu ctfmon.exe — spawning nových procesů, síťová aktivita nebo přístup k souborům mimo C:\Windows\System32\CTF jsou signály, které stojí za povšimnutí.
Opatření pro RedSun
Pokud vaše firma používá místo Microsoft Defenderu jiný bezpečnostní software — CrowdStrike, SentinelOne, Sophos, ESET nebo jiný EDR — jste vůči RedSun podstatně odolnější. Chyba je specificky ve způsobu, jakým Defender zpracovává remediaci souborů, a jiné produkty tuto logiku nemají.
Pokud Defender používáte jako primární ochranu, zvažte jeho doplnění třetím nástrojem nebo alespoň výrazné posílení monitorování. A znovu platí základní princip: RedSun potřebuje nejprve dostat spustitelný kód na cílový počítač. Silný phishing awareness program, application control a omezení lokálních administrátorských práv jsou první linií obrany — ještě před samotným exploitem.
Co monitorovat — signály možného útoku
Pokud máte v infrastruktuře EDR nebo SIEM, níže jsou konkrétní vzory chování, na které stojí za to nastavit detekční pravidla nebo alerty.
Pro YellowKey: Připojení neznámého USB zařízení bezprostředně před restartem do WinRE. Přítomnost složky FsTx na USB médiu nebo EFI partition. Neobvyklý přístup k BitLockerem chráněnému svazku z prostředí Windows Recovery.
Pro GreenPlasma: Vytváření symbolických odkazů v Object Manager namespace. Neočekávané spouštění procesů nebo síťová aktivita vycházející z ctfmon.exe. Procesy s právy SYSTEM spouštěné z uživatelského kontextu.
Pro RedSun: Defender remediační operace směrující zápis do adresáře C:\Windows\System32. Zápisy do systémových spustitelných souborů, zvláště TieringEngineService.exe. COM aktivace Storage Tiers Management (MSStorageSync) z neočekávaného kontextu. SYSTEM shell spouštěný z procesu MsMpEng.exe.
Co udělat, až Microsoft vydá patch
Záplaty na všechny tři zranitelnosti se očekávají na Patch Tuesday v červnu 2026, případně dříve formou mimořádné aktualizace, pokud se exploitační aktivita výrazně zvýší.
Jakmile patch vyjde, záplatujte do 24 až 48 hodin. Exploity jsou veřejné a útočníci aktivně sledují, kdo záplatuje a kdo ne — prodleva se přímo promítá do rizika.
U YellowKey počítejte s tím, že záplata pravděpodobně nebude jen standardní Windows Update. Oprava chyby v WinRE typicky vyžaduje aktualizaci recovery image přímo na disku — obvykle přes příkaz reagentc /update nebo dedikovaný nástroj, který Microsoft k záplatě přiloží. Zkontrolujte, že záplata proběhla skutečně na všech zařízeních, včetně vzdálených pracovníků a zařízení mimo doménovou správu.
Po vydání záplaty pro RedSun doporučujeme projít logy z dubna a května 2026 a ověřit, zda nedošlo k neobvyklým eskalacím privilegií, které by mohly naznačovat, že zranitelnost byla ve vašem prostředí již zneužita.
Závěr
YellowKey, GreenPlasma a RedSun ukazují na problém, o kterém se v bezpečnostní komunitě mluví dlouho: součásti, na které spoléháme nejvíc — šifrování disku, antivirový software, základní systémové procesy — mohou být samy o sobě zneužity. A veřejná dostupnost funkčního exploit kódu výrazně snižuje technickou laťku pro útočníka.
Dokud Microsoft nevydá patch, kombinace popsaných mitigačních opatření a zvýšeného monitorování je správná odpověď. Pokud si nejste jistí, jak vaše firma na tyto hrozby stojí — nebo chcete rychle projít expozici vaší infrastruktury — ozvěte se nám.
Úvodní konzultace je zdarma. Odpovídáme do 24 hodin.
CypherOn sleduje vývoj těchto zranitelností a tento advisory aktualizuje při nových informacích. Naposledy aktualizováno: 18.května 2026.
Odkaz na oficiální zdroje Microsoftu: Microsoft MSRC CVE-2026-33825