Исследователь под псевдонимом Nightmare-Eclipse представил публичное описание новой уязвимости нулевого дня под названием YellowKey. Эта проблема позволяет обойти защиту BitLocker и получить доступ к зашифрованным данным без необходимости вводить ключ восстановления. Уязвимость затрагивает операционные системы Windows 11, Windows Server 2022 и Windows Server 2025.
Детали уязвимости
Ситуация вызывает серьёзную обеспокоенность в сообществе специалистов по кибербезопасности. BitLocker традиционно считается последним рубежом защиты данных, когда устройство физически попадает в чужие руки. Речь идёт о ноутбуках, рабочих станциях и серверах, которые могут быть украдены или потеряны. В текущей публичной версии атака требует физического доступа к целевому устройству. Тем не менее эксперты называют этот риск весьма опасным, поскольку после перезагрузки в режим восстановления злоумышленник получает неограниченный доступ к защищённому тому.
Важно понимать, что YellowKey не взламывает сам алгоритм шифрования BitLocker. Проблема кроется в среде восстановления Windows (WinRE, среда восстановления Windows). Один из компонентов этой среды, предназначенный для легитимного восстановления системы, может быть использован для неожиданного открытия доступа к данным. Как сообщается, атака использует специально подготовленные файлы, размещённые на USB-накопителе. Другой задокументированный вариант предполагает запись этих файлов на системный раздел EFI (интерфейс встроенной прошивки), который обычно находится вне защиты BitLocker. После загрузки устройства в режим восстановления уязвимый компонент обрабатывает файловую структуру и открывает командную оболочку с доступом к защищённому тому.
Исследователь кибербезопасности Уилл Дорман обратил внимание на ещё один важный аспект. Он заметил, что журнал FsTx на съёмном носителе способен изменять файлы на другом томе, когда среда WinRE воспроизводит этот журнал. Это указывает на то, что YellowKey может указывать на более глубокую проблему в механизме воспроизведения транзакций NTFS между различными томами. Таким образом, потенциальное влияние на безопасность может быть шире, чем просто обход BitLocker.
На данный момент чёткого понимания, как защититься от этой уязвимости, нет. Некоторые источники упоминали, что использование PIN-кода BitLocker вместе с паролем BIOS может снизить вероятность успешной атаки. Однако позже появилась информация, что сам исследователь заявил о существовании варианта атаки, работающего даже в средах, где используется связка TPM (доверенный платформенный модуль) и PIN-кода. Этот вариант пока не опубликован.
Одна из ключевых деталей заключается в том, что Windows 10 не подвержена данной уязвимости в такой же степени. Это говорит о том, что проблема связана с новым поведением среды WinRE в Windows 11 и актуальных серверных редакциях, а не с каждым развёртыванием BitLocker во всех продуктах Microsoft. Независимый исследователь Кевин Бомон подтвердил, что эксплойт YellowKey работоспособен, что придало публикации дополнительную достоверность. На момент появления новостей уязвимость по-прежнему описывалась как неисправленная проблема нулевого дня. Это усиливает опасения, что публичный код на подтверждении концепции может ускорить появление копий и их использование злоумышленниками.
YellowKey была опубликована не в одиночку. Тот же исследователь представил ещё одну уязвимость под названием GreenPlasma. Эта проблема связана с компонентом CTFMON и возможностью произвольного создания разделов памяти. Она может быть использована для разработки пути локального повышения привилегий в операционных системах Windows 11, а также Windows Server 2022 и 2025. Такое сочетание имеет значение, поскольку Nightmare-Eclipse уже публиковал в этом году другие проекты для эксплуатации уязвимостей Windows, включая BlueHammer, RedSun и UnDefend. Компании по кибербезопасности ранее связывали эти инструменты с реальными атаками, что показывает, насколько быстро публичные исследования могут переходить от релиза к практическому злоупотреблению.
Для специалистов по защите информации YellowKey стала сигналом о том, что полное шифрование диска само по себе не способно защитить устройство, если пути восстановления, доступ к съёмным носителям и физические меры безопасности остаются открытыми. Пока Microsoft не предоставит более чётких рекомендаций или официального исправления, организациям, использующим Windows 11 и затронутые серверные платформы, вероятно, придётся гораздо внимательнее пересмотреть настройки защитников BitLocker, уровень доступа к среде WinRE и допущения о физической безопасности устройств.
Ссылки
