YellowKey: zero-day эксплойт полностью обходит стандартную защиту BitLocker в Windows 11

В сети появился zero-day эксплойт, позволяющий любому человеку с физическим доступом к системе Windows 11 обойти стандартные настройки BitLocker и получить полный доступ к зашифрованному диску за считанные секунды.

Эксплойт под названием YellowKey был опубликован на этой неделе исследователем под псевдонимом Nightmare-Eclipse. Он надёжно обходит стандартные конфигурации BitLocker в Windows 11 — полнотомное шифрование диска, которое Microsoft предоставляет для защиты содержимого от любого, кто не обладает ключом дешифрования. Этот ключ хранится в защищённом аппаратном модуле — TPM (Trusted Platform Module). BitLocker является обязательным требованием для многих организаций, включая те, что работают с правительственными контрактами.

Как один том манипулирует другим

Ядро эксплойта YellowKey — специально подготовленная папка FsTx. Документация по этой директории в открытом доступе встречается редко. По всей видимости, она связана с тем, что Microsoft называет Transactional NTFS (TxF) — технологией, позволяющей разработчикам обеспечивать «транзакционную атомарность» для файловых операций: как с одним файлом, так и с несколькими, в том числе расположенными на разных источниках.

Пошаговая инструкция эксплойта

Шаги для реализации обхода защиты на удивление просты:

1. Скопировать кастомную папку FsTx с репозитория Nightmare-Eclipse на USB-накопитель, отформатированный в NTFS или FAT.

2. Подключить USB-накопитель к устройству, защищённому BitLocker.

3. Загрузить устройство и сразу зажать клавишу [Ctrl].

4. Попасть в среду восстановления Windows (Windows Recovery Environment, WinRE).

Попасть в WinRE можно как минимум двумя способами:

• Загрузить Windows, зажать [Shift], кликнуть по иконке питания и выбрать «Перезагрузка».

• Включить устройство и перезагрузить его сразу после начала загрузки Windows.

В любом случае появляется командная строка CMD.EXE с полным доступом ко всему содержимому диска — злоумышленник может копировать, изменять или удалять файлы. При нормальном сценарии восстановления Windows атакующий должен был бы ввести ключ восстановления BitLocker. Каким-то образом эксплойт YellowKey обходит это требование.

Независимые исследователи безопасности, включая Кевина Бомонта (Kevin Beaumont) и Уилла Дорманна (Will Dormann), подтвердили, что эксплойт работает именно так, как описано.

Что происходит под капотом

Точный механизм, благодаря которому кастомная папка FsTx вызывает обход защиты, пока не ясен. Уилл Дорманн отмечает, что, по всей видимости, это связано с Transactional NTFS, который внутри использует журналируемую файловую систему (command-log file system). Дорманн также обратил внимание, что в коде Windows-библиотеки fstx.dll явно присутствует поиск пути \\System Volume Information\\FsTx в функции FsTxFindSessions().

Это создаёт предпосылки для атаки: специально сформированная структура в System Volume Information может вмешиваться в логику работы восстановительной среды, заставляя систему открыть командную строку с правами, игнорирующими политики BitLocker.

Почему это важно

BitLocker — не просто «фича для параноиков». В корпоративной среде это обязательный элемент compliance для защиты данных на утерянных или украденных устройствах. Если злоумышленник может обойти шифрование за несколько секунд с помощью USB-флешки, физическая безопасность устройства возвращается на первый план — а зачастую именно она является слабым звеном.

Кроме того, эксплойт работает против стандартных настроек Windows 11. Это означает, что миллионы устройств с типовой конфигурацией BitLocker+TPM оказываются уязвимы без каких-либо действий со стороны пользователя.

⚠️ Что делать?

На момент публикации оригинальной статьи компания Microsoft не выпустила патч. До появления официального исправления рекомендуется:

• Усилить физическую безопасностьустройств — не оставлять ноутбуки без присмотра в общедоступных местах.

• Использовать PIN-код для BitLocker(если организационная политика позволяет) — предзагрузочная аутентификация может усложнить реализацию эксплойта.

• Мониторить официальные каналы Microsoft на предмет обновлений безопасности.

А если данных на устройстве просто не будет?

История с YellowKey в очередной раз подсвечивает неудобную правду: пока критичные корпоративные данные физически лежат на ноутбуках сотрудников, любая брешь в защите конечного устройства превращается в проблему всей компании. Забытый в такси ноутбук, кража из переговорной коворкинга, утерянная в командировке техника — и зашифрованный ради соответствия требованиям безопасности диск может оказаться открытой книгой за время, которое нужно, чтобы воткнуть USB-флешку.

Один из проверенных способов снизить такие риски — выносить рабочие сервисы, базы данных и файловые хранилища из локальной инфраструктуры в защищённое облако. На самом устройстве остаётся минимум информации, а основной массив данных размещается в ЦОД с физическим контролем доступа, резервированием питания и каналов, круглосуточным мониторингом — то есть там, где сценарий «подошёл с флешкой» в принципе невозможен.

Современные задачи ставят перед бизнесом требования наличия мощной и отказоустойчивой инфраструктуры. Компания Cloud4Y предоставляет пользователям сайта Habr скидку 20% на аренду облачных серверов для бизнеса. Серверы Cloud4Y обеспечивают SLA 99.982%, размещаются в ЦОД уровня TIER III и работают в режиме 24/7. Вы можете выбрать готовую конфигурацию или собрать индивидуальное решение под ваши задачи.

Не упустите шанс реализовать потребности бизнеса на максимум — ускорьте свои проекты и сэкономьте до 20% уже сегодня по промокоду HABR20. Акционное предложение действительно для новых клиентов компании Cloud4Y.