YellowKey: zero-day эксплойт полностью обходит стандартную защиту BitLocker в Windows 11

В сфере искусственного интеллекта произошло заметное событие. Cloud4Y 2 минуты назад YellowKey: zero-day эксплойт полностью обходит стандартную защиту BitLocker в Windows 11 4 мин 0 Блог компании Cloud4Y Информационная безопасность * Системное администрирование * Хранение данных * Криптография * Перевод Автор оригинала: Dan Goodin В сети появился zero-day эксплойт, позволяющий любому человеку с физическим доступом к системе Windows 11 обойти стандартные настройки BitLocker и получить полный доступ к зашифрованному диску за считанные секунды. Эксплойт под названием YellowKey был опубликован на этой неделе исследователем под псевдонимом Nightmare-Eclipse. Он надёжно обходит стандартные конфигурации BitLocker в Windows 11 — полнотомное шифрование диска, которое Microsoft предоставляет для защиты содержимого от любого, кто не обладает ключом дешифрования.

Этот ключ хранится в защищённом аппаратном модуле — TPM (Trusted Platform Module). BitLocker является обязательным требованием для многих организаций, включая те, что работают с правительственными контрактами. Как один том манипулирует другимЯдро эксплойта YellowKey — специально подготовленная папка FsTx.

Технические детали

Документация по этой директории в открытом доступе встречается редко. По всей видимости, она связана с тем, что Microsoft называет Transactional NTFS (TxF) — технологией, позволяющей разработчикам обеспечивать «транзакционную атомарность» для файловых операций: как с одним файлом, так и с несколькими, в том числе расположенными на разных источниках. Пошаговая инструкция эксплойтаШаги для реализации обхода защиты на удивление просты:Скопировать кастомную папку FsTx с репозитория Nightmare-Eclipse на USB-накопитель, отформатированный в NTFS или FAT.

Подключить USB-накопитель к устройству, защищённому BitLocker. Загрузить устройство и сразу зажать клавишу . Попасть в среду восстановления Windows (Windows Recovery Environment, WinRE).

Попасть в WinRE можно как минимум двумя способами:Загрузить Windows, зажать , кликнуть по иконке питания и выбрать «Перезагрузка». Включить устройство и перезагрузить его сразу после начала загрузки Windows. В любом случае появляется командная строка CMD.

Отраслевые последствия

EXE с полным доступом ко всему содержимому диска — злоумышленник может копировать, изменять или удалять файлы. При нормальном сценарии восстановления Windows атакующий должен был бы ввести ключ восстановления BitLocker. Каким-то образом эксплойт YellowKey обходит это требование.

Независимые исследователи безопасности, включая Кевина Бомонта (Kevin Beaumont) и Уилла Дорманна (Will Dormann), подтвердили, что эксплойт работает именно так, как описано. Что происходит под капотомТочный механизм, благодаря которому кастомная папка FsTx вызывает обход защиты, пока не ясен. Уилл Дорманн отмечает, что, по всей видимости, это связано с Transactional NTFS, который внутри использует журналируемую файловую систему (command-log file system).

Дорманн также обратил внимание, что в коде Windows-библиотеки fstx.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.