Подождите...Каталог
Исследователь, известный под псевдонимом "Nightmare-Eclipse", недавно объявил об уязвимости YellowKey, которая якобы позволяет полностью обойти систему шифрования диска BitLocker. Он назвал YellowKey одной из самых "безумных" дыр в защите данных, с которыми он когда-либо имел дело, и обвинил Microsoft в возможно преднамеренном встраивании бэкдора в систему защиты BitLocker. Эксплойт YellowKey обходит BitLocker через USB-флешку или среду WinRE.
По словам исследователя, YellowKey ведет себя не как обычный впервые обнаруживаемый баг в защите данных. Данная уязвимость, объяснил Nightmare-Eclipse, может воспроизводиться путем копирования присоединенной папки "FsTx" на USB-флешку с Windows-совместимым форматом файловой системы, как то – NTFS, FAT32 или exFAT.
Уязвимость может работать и без USB-флешки, если файлы FsTx копируются в раздел Windows EFI, и тогда зашифрованный диск временно отключается от системы. После размещения папки FsTx в указанном разделе хакеру нужно просто перезагрузить машину с защитой BitLocker, войти в Windows Recovery Environment (WinRE) и последовательно произвести определенные операции ввода.
Если вся процедура выполнена корректно, появляется окно оболочки с командной строкой, дающей неограниченный доступ к данным диска с защитой BitLocker. Паролей вводить не нужно, и зашифрованные данные могут быть полностью открыты для просмотра, копирования и других операций.
Nightmare-Eclipse считает, что уязвимость YellowKey может небезосновательно рассматриваться как бэкдор, преднамеренно встроенный в BitLocker фирмой Microsoft. Свое предположение он аргументирует тем, что компонент, запускающий весь процесс, содержится только в официальном образе WinRE, и такой же компонент присутствует в стандартных установочных образах Windows, но на живых эксплуатируемых системах механизм обхода BitLocker не наблюдается.
По словам исследователя, они "просто не могут найти других объяснений, кроме того, что это было сделано преднамеренно. Но, каковы бы ни были причины, данной уязвимости подвержены только системы Windows 11 и Server 2022/2025, Windows 10 нет."
Независимые исследователи подтвердили, что YellowKey действительно работает так, как описывает Nightmare-Eclipse в материалах, опубликованных на GitHub. Кроме того, исследователь опубликовал второй эксплойт, GreenPlasma, который, по его словам, позволяет повысить уровень привилегий. Он не опубликовал полный проверочный код (proof-of-concept) для достижения уровня доступа SYSTEM, но намекнул, что может открыть дополнительные подробности к ближайшему «Вторнику Патчей».
Nightmare-Eclipse известен своими нападками на Microsoft по поводу якобы враждебного отношения компании к экспертам по кибербезопасности со стороны. Ранее, под псевдонимом "Chaotic Eclipse", он опубликовал эксплойт Red Sun и другие уязвимости с кодами proof-of-concept, попутно обвинив Microsoft в попытках навредить его карьере и репутации.
Что касается предполагаемого бэкдора YellowKey, минимизировать риски сравнительно просто. Специалисты по кибербезопасности обычно рекомендуют не опираться на какую-то одну систему шифрования, а подключить проверенные альтернативы для полного шифрования диска, например, VeraCrypt.