Katastrofa dla Windows 11. Nowy exploit omija BitLockera bez hasła

Microsoft ma ogromny problem po publikacji exploitu typu zero-day o nazwie YellowKey. Narzędzie zaprezentowane przez badacza bezpieczeństwa ukrywającego się pod pseudonimem Chaotic Eclipse ma umożliwiać otwarcie dysków zabezpieczonych BitLockerem przy użyciu zwykłego pendrive’a i kilku plików zapisanych w ukrytym katalogu systemowym.

Sprawa jest wyjątkowo głośna nie tylko przez samą lukę, ale również przez sposób jej ujawnienia. Autor exploitu twierdzi, że wcześniej próbował zgłaszać podatności Microsoftowi. Według jego relacji część raportów została odrzucona lub zignorowana, dlatego zdecydował się opublikować kolejne narzędzia publicznie. W sieci pojawiły się już działające proof-of-concepty, a użytkownicy zaczęli samodzielnie testować exploit na komputerach z Windows 11 i Windows Server.

YellowKey może stać się jedną z najgłośniejszych luk bezpieczeństwa związanych z Windows 11 w ostatnich latach. Jeśli exploit okaże się skuteczny na szerokiej gamie urządzeń, Microsoft będzie musiał błyskawicznie przygotować poprawki i odbudować zaufanie do BitLockera.

Pendrive zamiast klucza odzyskiwania

Najbardziej niepokojący element całej historii dotyczy prostoty ataku. YellowKey nie wymaga specjalistycznego sprzętu ani zaawansowanej wiedzy kryptograficznej. Według opublikowanych informacji wystarczy przygotować pamięć USB z odpowiednio spreparowanymi plikami, uruchomić komputer w środowisku odzyskiwania Windows i wykonać prostą kombinację klawiszy podczas restartu systemu.

Po chwili użytkownik ma otrzymać dostęp do wiersza poleceń z pełnym wglądem w zawartość wcześniej zaszyfrowanego dysku. Bez wpisywania hasła, bez klucza odzyskiwania i bez komunikatu ostrzegawczego. Badacze, którzy przeprowadzili własne testy, potwierdzają, że exploit działa na części konfiguracji wykorzystujących BitLockera.

Dodatkowe kontrowersje budzi zachowanie plików wykorzystywanych podczas ataku. Po użyciu mają automatycznie znikać z pamięci USB. Taki mechanizm natychmiast wywołał lawinę komentarzy sugerujących istnienie ukrytej furtki w zabezpieczeniach Windowsa. Na razie nie ma jednak dowodów wskazujących na celowe działanie Microsoftu.

BitLocker od lat był uznawany za bezpieczny

BitLocker to jedno z najważniejszych zabezpieczeń stosowanych w komputerach z Windows. Mechanizm szyfrowania jest aktywny na milionach laptopów firmowych, komputerów administracji publicznej i urządzeń prywatnych użytkowników. W Windows 11 funkcja bardzo często aktywuje się automatycznie podczas konfiguracji systemu.

Cała idea BitLockera opiera się na przechowywaniu kluczy szyfrowania w module TPM. Dzięki temu wyjęcie dysku z jednego komputera i podłączenie go do innej maszyny nie powinno umożliwić odczytu danych. YellowKey podważa jednak poczucie bezpieczeństwa związane z fizycznym przejęciem urządzenia. Kradzież laptopa może okazać się wystarczająca do uzyskania dostępu do danych właściciela.

Chaotic Eclipse twierdzi również, że dodatkowe zabezpieczenie w postaci kodu PIN dla TPM nie eliminuje problemu. Badacz utrzymuje, że posiada wariant exploitu działający również w takim scenariuszu, ale nie opublikował jeszcze pełnej demonstracji.

Microsoft milczy, internet wrze

W chwili publikacji informacji Microsoft nie wydał oficjalnego komunikatu dotyczącego YellowKey ani drugiego exploitu o nazwie GreenPlasma. Ten drugi ma umożliwiać lokalne podnoszenie uprawnień aż do poziomu SYSTEM poprzez manipulację procesem CTFMon i pamięcią współdzieloną Windowsa.

Eksperci od bezpieczeństwa zwracają uwagę, że GreenPlasma może stanowić ogromne zagrożenie dla środowisk serwerowych. W praktyce zwykły użytkownik systemu mógłby uzyskać najwyższe możliwe uprawnienia i przejąć kontrolę nad infrastrukturą firmy.To kolejna odsłona konfliktu między Chaotic Eclipse a Microsoftem. W poprzednich miesiącach badacz opublikował exploity BlueHammer oraz RedSun, które również uderzały w zabezpieczenia Windows Defendera i mechanizmy uprawnień systemowych. Według autora część luk została później po cichu załatana.