Deze kwetsbaarheden tonen aan dat zelfs volledig gepatchte systemen kwetsbaar kunnen zijn wanneer vertrouwde Windows-componenten op onverwachte manieren worden misbruikt. Hoewel de eerste drie ontdekkingen vooral betrekking hadden op Microsoft Defender en inmiddels grotendeels zijn verholpen, zijn YellowKey, GreenPlasma en MiniPlasma nog steeds bijzonder relevant.
Wat is een zero-day?
Een zero-day is een kwetsbaarheid in software die op het moment van ontdekking nog niet bekend is bij de fabrikant, of waarvoor nog geen patch beschikbaar is. Dat betekent dat er “nul dagen” zijn geweest om het probleem te verhelpen.
Juist dat maakt zero-days zo gevaarlijk: aanvallers kunnen de kwetsbaarheid al misbruiken terwijl er nog geen officiële verdediging of update bestaat. In veel gevallen wordt een zero-day pas publiek nadat hij al actief is gebruikt in aanvallen of na onderzoek door securityonderzoekers.
De eerste golf: BlueHammer, UnDefend en RedSun
De eerste drie publicaties in april 2026 van Chaotic Eclipse – BlueHammer, UnDefend en RedSun – richtten zich allemaal op Microsoft Defender en de manier waarop Windows beveiligingscomponenten met hoge privileges uitvoert.
BlueHammer was een Local Privilege Escalation waarmee een gewone gebruiker SYSTEM-rechten kon verkrijgen door misbruik te maken van Volume Shadow Copy Service (VSS) tijdens Defender-updates. UnDefend liet zien hoe de beschermings- en updatefunctionaliteit van Defender kon worden verstoord, waardoor signatures niet meer correct werden bijgewerkt. RedSun was een tweede privilege-escalatie met minder openbaar gemaakte details, maar eveneens gericht op vertrouwde Defender-processen.
Omdat deze kwetsbaarheden inmiddels ouder zijn en Microsoft de onderliggende problemen grotendeels heeft aangepakt, zijn ze vandaag vooral interessant als voorbeeld van hoe zelfs beveiligingssoftware zelf een aanvalsvector kan vormen. Voor organisaties blijft het belangrijk om Defender up-to-date te houden, Tamper Protection in te schakelen en afwijkingen in update- of scanprocessen te monitoren.
YellowKey
YellowKey is een BitLocker-bypass die fysieke toegang tot een systeem vereist. BitLocker beschermt gegevens wanneer een apparaat verloren raakt of wordt gestolen, maar YellowKey laat zien dat deze bescherming onder bepaalde omstandigheden kan worden omzeild.
Met een speciaal voorbereide USB-stick kan een aanvaller het systeem in Windows Recovery Environment (WinRE) starten. Door misbruik te maken van een intern bestandssysteempad wordt vervolgens toegang verkregen tot de versleutelde schijf zonder dat de BitLocker recovery key nodig is.
De impact is vooral groot voor laptops en andere mobiele apparaten. De belangrijkste tegenmaatregelen zijn het instellen van een BIOS- of UEFI-wachtwoord, het uitschakelen van booten vanaf externe media en het beperken van toegang tot WinRE. BitLocker blijft een sterke beveiligingsmaatregel, maar fysieke hardening is een noodzakelijke aanvulling.
GreenPlasma
GreenPlasma is een privilege-escalatie die ctfmon.exe misbruikt. Dit is een standaard Windows-proces dat verantwoordelijk is voor tekstinvoer en taalfunctionaliteit.
Door specifieke registry- en objectmanager-wijzigingen kan een threat actor ervoor zorgen dat ctfmon.exe een door hem gecontroleerd object gebruikt. Omdat dit proces met zeer hoge privileges draait, resulteert dit in SYSTEM-toegang.
Wat GreenPlasma bijzonder maakt, is dat een vertrouwd en ogenschijnlijk onschuldig systeemproces wordt gebruikt als aanvalsmiddel. Organisaties kunnen het risico beperken door wijzigingen in gevoelige registry-keys te monitoren, application allowlisting toe te passen en afwijkend gedrag van ctfmon.exe te detecteren via EDR.
MiniPlasma
MiniPlasma richt zich op cldflt.sys, de Cloud Filter-driver die onder meer door OneDrive wordt gebruikt. Deze zero-day toonde aan dat een oudere kwetsbaarheid uit 2020 mogelijk nooit volledig was opgelost.
Een gewone gebruiker kan misbruik maken van foutieve toegangscontroles binnen de Cloud Filter-functionaliteit om specifieke registry-keys aan te maken en uiteindelijk SYSTEM-rechten te verkrijgen. Opvallend is dat de exploit werkte op volledig bijgewerkte Windows 11-systemen.
Omdat de kwetsbaarheid bij publicatie nog niet officieel was gepatcht, is detectie van groot belang. Securityteams kunnen letten op onverwachte wijzigingen in Cloud Files-gerelateerde registry-locaties en verdachte interacties met cldflt.sys. Zodra Microsoft een beveiligingsupdate beschikbaar stelt, is snelle installatie van groot belang.
Wat deze recente zero-days gemeen hebben
YellowKey, GreenPlasma en MiniPlasma laten zien dat de grootste risico’s niet altijd voortkomen uit onbekende malware, maar juist uit vertrouwde Windows-componenten. BitLocker, ctfmon.exe en cldflt.sys zijn standaard aanwezig en worden door veel beveiligingsoplossingen als legitiem beschouwd.
Voor security analisten betekent dit dat vertrouwen op digitale handtekeningen alleen niet voldoende is. Het gedrag van processen en de context waarin zij worden gebruikt, zijn minstens zo belangrijk.
.jpg)
