Нова вразливість під назвою YellowKey, виявлена дослідником під псевдонімом Nightmare-Eclipse, створює серйозну загрозу для користувачів операційних систем Windows, чиї накопичувачі захищені шифруванням BitLocker. Цей метод, що вимагає лише USB-носія з певними файлами та фізичного доступу до комп’ютера, дозволяє отримати несанкціонований доступ до зашифрованих даних, що викликає занепокоєння щодо надійності одного з найпопулярніших інструментів безпеки Microsoft. Дослідник вважає цю знахідку фактичним бекдором, навмисно залишеним компанією.
Аналіз вразливості YellowKey
Nightmare-Eclipse, який раніше вже публікував інформацію про критичні вразливості, такі як BlueHammer та RedSun, цього разу представив два нових експлойти нульового дня. YellowKey, перша з них, дозволяє отримати повний доступ до накопичувача, захищеного BitLocker, тоді як другий, GreenPlasma, нібито забезпечує підвищення привілеїв на системному рівні, хоча його функціональність ще не повністю підтверджена.
Деталі експлуатації YellowKey
Експлуатація вразливості YellowKey вражає своєю простотою. Згідно з інструкціями, наданими Nightmare-Eclipse, процес включає копіювання спеціальної теки на USB-носій, який потім підключається до цільового комп’ютера. Після перезавантаження в середовище відновлення Windows, виконавши певні комбінації клавіш, зловмисник отримує доступ до командного рядка з необмеженими правами, що дозволяє обійти захист BitLocker. Особливо тривожним є той факт, що, за словами журналістів Tom’s Hardware, файли експлойту зникають з USB-носія після першого використання, що свідчить про можливе існування прихованого механізму.
- Скопіювати теку FsTx до “USB-носій: System Volume InformationFsTx”, використовуючи файлову систему, сумісну з Windows (NTFS є кращим варіантом).
- Підключити USB-носій до комп’ютера з увімкненим BitLocker.
- Перезавантажитися в режим відновлення Windows (утримання SHIFT під час натискання кнопки перезавантаження).
- Після перезавантаження утримувати CTRL, не відпускаючи SHIFT.
- Отримати доступ до оболонки з необмеженими правами.
Аргументи на користь “бекдору”
Nightmare-Eclipse наводить вагомі аргументи на користь того, що YellowKey є навмисним бекдором. Він зазначає, що компонент, відповідальний за вразливість, відсутній в інших частинах системи, окрім образу WinRE (Windows Recovery Environment), і що аналогічний компонент у звичайній інсталяції Windows не має такої функціональності. Це, на його думку, вказує на свідоме створення цього “лазівки”. Дослідник також підкреслює, що ця вразливість стосується переважно Windows 11 та новіших серверних версій, тоді як Windows 10 не зачіпається.
Вразливість залишається актуальною навіть при використанні повних налаштувань TPM та PIN-коду. Цікаво, що автор стверджує, що міг би заробити значні кошти, продаючи цю інформацію, але його принципова позиція проти дій Microsoft перешкоджає цьому. Станом на зараз, компанія Microsoft офіційно не відреагувала на публікацію даних про YellowKey та GreenPlasma. Хоча раніше виявлена вразливість BlueHammer вже була виправлена, а RedSun, за словами автора, також була виправлена Microsoft, офіційного підтвердження щодо останньої немає.
Ця ситуація викликає питання щодо довіри до шифрування даних, яке надає BitLocker, і підкреслює необхідність постійного моніторингу безпеки та оперативної реакції виробників програмного забезпечення на нові загрози.
