В интернете появилась уязвимость типа zero-day, которая позволяет людям с физическим доступом к устройству под управлением Windows 11 за считанные секунды обойти защиту BitLocker и получить полный доступ к зашифрованному диску.
Эксплуатируемая уязвимость получила название YellowKey и была опубликована на этой неделе исследователем с псевдонимом Nightmare-Eclipse. Она стабильно обходит защиту BitLocker по умолчанию — технологии шифрования всего диска от компании Майкрософт (Microsoft), предназначенной для блокировки доступа к данным без специального ключа расшифровки. Этот ключ обычно хранится в защищённом аппаратном модуле, известном как доверенная платформа (TPM). BitLocker обязателен для использования во многих организациях, включая те, что работают с государственными контрактами.
Как одна файловая система манипулирует другой
Суть атаки YellowKey — в специально созданной папке FsTx. Информация об этом компоненте в открытых источниках практически отсутствует. Однако, как выяснилось, она связана с файлом fstx.dll и, судя по всему, использует технологию Transactional NTFS от Майкрософт. Эта функция позволяет разработчикам выполнять файловые операции в режиме «транзакционной атомарности» — то есть либо полностью завершать операцию, либо откатывать её при ошибке, даже если она затрагивает несколько файлов или дисков.
Атака выполняется просто:
- Скопировать папку FsTx со страницы эксплойта Nightmare-Eclipse на USB-накопитель с файловой системой NTFS или FAT
- Подключить USB к защищённому BitLocker устройству
- Включить устройство и сразу же зажать клавишу [Ctrl]
- Попасть в среду восстановления Windows
Попасть в режим восстановления можно двумя способами: либо удерживая [Shift] при перезагрузке из работающей системы, либо перезагружая устройство сразу после начала загрузки Windows.
В результате открывается командная строка (CMD.EXE) с полным доступом ко всем данным на диске. Атакующий может копировать, изменять или удалять файлы. При обычной процедуре восстановления система потребовала бы ввести ключ восстановления BitLocker. Но эксплуат YellowKey каким-то образом обходит эту проверку. Работоспособность уязвимости подтвердили несколько специалистов по безопасности, включая Кевина Бомонта (Kevin Beaumont) и Уилла Дорманна (Will Dormann).
Точный механизм обхода пока неясен. Дорманн предполагает, что он связан с Transactional NTFS, который в основе использует систему журналирования команд. Он также отметил, что при анализе файла fstx.dll в функции FsTxFindSessions() обнаруживается код, который явно ищет путь \System Volume Information\FsTx.