日前因对微软漏洞通报流程不满的研究人员Chaotic Eclipse（Nightmare-Eclipse），上个月在微软发布4月例行更新（Patch Tuesday）前后，公开了Microsoft Defender的一系列安全漏洞，包括BlueHammer（CVE-2026-33825）、RedSun和UnDefend，后续均传出已被用于实际攻击。此次该研究人员在微软发布5月例行更新后，再次公布新的零日漏洞，引发安全媒体关注。

该研究人员于5月13日公布了磁盘加密机制BitLocker的漏洞YellowKey，以及输入法组件CTFMON的漏洞GreenPlasma，并发布了部分概念验证代码（PoC）。这两个漏洞均影响Windows 11、Windows Server 2022与2025，但Windows 10似乎不受影响。其中更值得关注的是YellowKey，Chaotic Eclipse形容其几乎等同于后门。该漏洞存在于Windows恢复环境（WinRE）中，攻击者只需将特制的FxTx文件存放在USB闪存盘或EFI分区，便有机会在WinRE环境下访问受BitLocker保护的文件。安全专家Kevin Beaumont确认了该漏洞的存在，并建议用户为BitLocker设置PIN码，或采用BIOS密码等防护措施。

另一个漏洞GreenPlasma为权限提升漏洞。Chaotic Eclipse指出，通过该漏洞的概念验证代码，可在任何SYSTEM权限可写入的文件夹中创建任意内存区域。然而，GreenPlasma真正的危害在于，攻击者一旦成功利用，即可获得具有完整SYSTEM权限的命令行Shell。该研究人员透露，此漏洞的原因在于包括内核模式驱动在内的众多系统服务，会直接信任某些路径下的内容，导致普通用户有机会获得写入权限。