Перейти к содержимому
Гаджеты

Zero-day YellowKey обходит BitLocker в Windows 11 за несколько секунд

Эксплойт даёт полный доступ к зашифрованному диску при физическом контакте с устройством — без ключа восстановления и без специальных навыков.

Казакевич Алексей
5 мин
Zero-day YellowKey обходит BitLocker в Windows 11 за несколько секунд
Содержание
  1. Что такое BitLocker и почему это важно
  2. Как работает атака: USB, загрузка и командная строка
  3. Кто подтвердил уязвимость и что известно на сегодня
  4. Что это значит для белорусского бизнеса и IT-сектора

Публично доступный эксплойт YellowKey позволяет любому, кто имеет физический доступ к компьютеру с Windows 11, полностью обойти шифрование BitLocker и получить доступ ко всем данным на диске — за несколько секунд. Атака не требует ввода ключа восстановления и не предполагает глубоких технических знаний. Уязвимость опубликовал исследователь под псевдонимом Nightmare-Eclipse, а её работоспособность независимо подтвердили сразу несколько специалистов по безопасности.

Что такое BitLocker и почему это важно

BitLocker — встроенная в Windows система полнодискового шифрования. Она защищает содержимое накопителя от чтения без специального ключа дешифрования, который хранится в аппаратном модуле TPM (Trusted Platform Module). Для многих организаций, в том числе работающих с государственными контрактами, BitLocker является обязательным требованием безопасности.

До появления YellowKey считалось, что стандартная конфигурация BitLocker в Windows 11 надёжно защищает данные даже при краже физического устройства. Эксплойт опровергает это допущение целиком.

Как работает атака: USB, загрузка и командная строка

Механизм атаки построен вокруг специально подготовленной папки FsTx, которую автор эксплойта опубликовал в открытом доступе. Исследователь Will Dormann установил, что папка связана с механизмом Transactional NTFS (TxF) — функцией Windows, позволяющей разработчикам выполнять файловые операции в рамках атомарных транзакций. В коде системной библиотеки `fstx.dll` содержится функция `FsTxFindSessions()`, которая явно ищет путь `\System Volume Information\FsTx` — именно туда и направлен эксплойт.

Последовательность действий для проведения атаки предельно проста. Нужно скопировать папку FsTx на USB-накопитель с файловой системой NTFS или FAT, подключить его к целевому устройству, перезагрузить машину в режим восстановления Windows и удерживать клавишу Ctrl. В результате открывается командная строка `CMD.EXE` с полным доступом ко всему содержимому диска.

В штатном сценарии восстановления Windows система запрашивает ключ восстановления BitLocker — без него прочитать данные невозможно. YellowKey каким-то образом обходит этот запрос. Точный механизм обхода пока не раскрыт: исследователи подтвердили факт уязвимости, но полный технический разбор ещё не опубликован.

Атакующий получает возможность копировать, изменять или удалять любые файлы на зашифрованном томе. Для корпоративной среды это означает полную компрометацию данных при утере или краже ноутбука — даже если устройство было правильно настроено.

Кто подтвердил уязвимость и что известно на сегодня

Работоспособность YellowKey независимо верифицировали как минимум два авторитетных специалиста: Kevin Beaumont и Will Dormann. Оба подтвердили, что эксплойт стабильно воспроизводится на стандартных конфигурациях Windows 11 с включённым BitLocker.

Microsoft пока не выпустила официального патча и не прокомментировала ситуацию публично. Эксплойт квалифицируется как zero-day: уязвимость существует в продакшн-системах, а исправление ещё не доступно пользователям.

Что это значит для белорусского бизнеса и IT-сектора

Для белорусских компаний, особенно резидентов ПВТ и организаций, работающих с персональными данными или коммерческой тайной, ситуация требует немедленной оценки рисков. BitLocker широко используется в корпоративных парках ноутбуков как базовый инструмент защиты данных при физической утере устройства.

До выхода патча от Microsoft имеет смысл рассмотреть несколько мер снижения риска. Во-первых, ограничить загрузку с внешних носителей через настройки BIOS/UEFI и защитить их паролем. Во-вторых, включить PIN-код перед загрузкой в настройках BitLocker — это дополнительный барьер, который не зависит от TPM. В-третьих, усилить контроль физического доступа к рабочим станциям и ноутбукам сотрудников, особенно в командировках и публичных пространствах.

Организациям, для которых BitLocker является частью compliance-требований (например, по договорам с госструктурами или международными партнёрами), стоит зафиксировать факт наличия уязвимости и временно усилить компенсирующие меры — вплоть до выхода официального обновления безопасности от Microsoft.

— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business.

ПоделитьсяVK

Свежие новости

Все новости