Исследователь в области кибербезопасности, известный под псевдонимом Nightmare-Eclipse, раскрыл информацию о критической уязвимости нулевого дня в операционной системе Microsoft Windows 11. Проблема, получившая название YellowKey, позволяет злоумышленнику с физическим доступом к устройству обойти стандартную защиту BitLocker и получить полный доступ к зашифрованным данным всего за несколько секунд.
BitLocker — это технология полного шифрования диска, которая защищает данные от несанкционированного доступа при потере или краже устройства. Ключ расшифровки хранится в модуле TPM (Trusted Platform Module), что делает стандартную конфигурацию BitLocker уязвимой для атак, использующих данный эксплойт.
Исследователь назвал уязвимость «почти похожей на бэкдор», поскольку ошибка проявляется не в самой операционной системе, а в среде восстановления Windows (WinRE — Windows Recovery Environment). В самой Windows отсутствует необходимая функциональность для запуска обхода.
Для эксплуатации уязвимости злоумышленнику необходимо скопировать специально созданную папку FsTx (которая обеспечивает атомарность транзакций для файловых операций) в определённый путь на диске восстановления. Далее требуется загрузить компьютер в среде WinRE и выполнить простую последовательность нажатий клавиш.
В результате злоумышленник получит доступ к командной строке с полными правами на чтение, копирование, изменение и удаление любых файлов на зашифрованном диске. Обычно для доступа к данным в WinRE требуется ключ восстановления BitLocker, однако YellowKey полностью обходит эту защиту.
Согласно имеющимся данным, уязвимость затрагивает следующие операционные системы со стандартной конфигурацией BitLocker:
Системы с Windows 10 не подвержены данной уязвимости. Кроме того, пользователи, которые используют дополнительную аутентификацию при загрузке (например, PIN-код или USB-ключ безопасности), как правило, лучше защищены от такого рода атак.
Уязвимость YellowKey работает только со стандартной конфигурацией BitLocker, в которой ключи расшифровки хранятся исключительно в TPM. Для защиты от данной атаки рекомендуется:
Несколько независимых исследователей подтвердили работоспособность эксплойта YellowKey. Также был обнаружен второй эксплойт, получивший название GreenPlasma, который позволяет повысить привилегии до уровня SYSTEM, используя доверенные пути, применяемые службами и драйверами ядра. Полный код этого эксплойта не был опубликован из-за опасений серьёзных злоупотреблений.
Источник: www.playground.ru