Jeszcze w piątek opisywaliśmy nowe podatności typu zero-day, o nazwach YellowKey oraz GreenPlasma, uderzające w mechanizmy bezpieczeństwa systemów Windows. Najnowsze informacje pokazują jednak, że sprawa może być znacznie poważniejsza, niż początkowo zakładano. Według testów przeprowadzonych przez Tom’s Hardware exploit YellowKey faktycznie pozwala na ominięcie zabezpieczeń BitLockera i uzyskanie dostępu do zaszyfrowanego dysku bez znajomości klucza odzyskiwania.

Autor: 8 min czytania

To potencjalnie jeden z najgroźniejszych incydentów związanych z bezpieczeństwem Windows w ostatnich latach – szczególnie że BitLocker od dawna był przedstawiany jako podstawowy mechanizm ochrony danych w Windows 11 oraz środowiskach enterprise.

BitLocker miał chronić dane – YellowKey pokazuje coś zupełnie innego

BitLocker to natywny mechanizm szyfrowania pełnych dysków dostępny w systemach Windows Pro, Enterprise oraz Windows Server. Technologia wykorzystuje moduł TPM (Trusted Platform Module), przechowujący klucze kryptograficzne i automatycznie odblokowujący dysk podczas uruchamiania systemu. Dzięki temu nawet po kradzieży laptopa dane miały pozostawać niedostępne dla atakującego.

Problem polega na tym, że exploit YellowKey najwyraźniej wykorzystuje lukę w mechanizmie Windows Recovery Environment (WinRE), pozwalając ominąć standardowy proces autoryzacji.

Według opublikowanych informacji cały atak sprowadza się do:

  • przygotowania pendrive’a z odpowiednimi plikami,
  • zapisania ich w katalogu „System Volume Information”,
  • uruchomienia systemu w środowisku odzyskiwania Windows,
  • przytrzymania klawisza CTRL podczas restartu.

Po wykonaniu tych kroków system ma uruchomić uprzywilejowany shell z pełnym dostępem do zaszyfrowanego wcześniej dysku – bez pytania o klucz BitLockera.

Źródło:Tom’s hardware blog

Co szczególnie niepokojące, pliki exploita po użyciu mają automatycznie usuwać się z pendrive’a, utrudniając analizę śladów ataku. Właśnie ten element sprawił, że część badaczy zaczęła mówić o możliwym „backdoorze” lub ukrytym mechanizmie serwisowym obecnym w systemie Windows.

Analiza techniczna – jak może działać YellowKey?

Na ten moment Microsoft nie opublikował szczegółów technicznych ani oficjalnego CVE dla YellowKey. Analizując zachowanie exploita, można jednak przypuszczać, że podatność dotyczy kombinacji kilku komponentów:

  • Windows Recovery Environment,
  • mechanizmu automatycznego montowania wolumenów,
  • obsługi kluczy TPM,
  • procesu odzyskiwania BitLockera.

Najbardziej prawdopodobny scenariusz wygląda następująco:

1. WinRE uzyskuje dostęp do odszyfrowanego wolumenu

Podczas startu systemu TPM automatycznie udostępnia klucze szyfrowania, o ile środowisko bootowania wygląda na zaufane. Jeżeli exploit potrafi uruchomić WinRE w odpowiednim momencie procesu bootowania, system może uznać środowisko odzyskiwania za legalne i udostępnić odszyfrowany wolumen.

2. Manipulacja przepływem rozruchu

Badacze wskazują, że przytrzymanie CTRL podczas restartu ma znaczenie krytyczne. Może to sugerować wykorzystanie starego mechanizmu debugowania lub nieudokumentowanej ścieżki recovery obecnej w bootloaderze Windows.

3. Eskalacja uprawnień

Po uzyskaniu dostępu do środowiska odzyskiwania exploit uruchamia shell z uprawnieniami SYSTEM. To najwyższy możliwy poziom uprawnień w Windows – wyższy nawet od administratora.

W praktyce oznacza to możliwość:

  • kopiowania danych,
  • resetowania haseł,
  • modyfikacji rejestru,
  • instalacji malware,
  • tworzenia ukrytych kont administracyjnych,
  • wyłączania mechanizmów bezpieczeństwa.

GreenPlasma – druga luka, być może jeszcze groźniejsza…

Równolegle z YellowKey ujawniono także exploit GreenPlasma. Tym razem chodzi o lokalną eskalację uprawnień, wykorzystującą proces CTFMon – odpowiadający za obsługę metod wprowadzania tekstu w Windows.

Atak ma bazować na manipulacji współdzielonymi sekcjami pamięci (shared memory sections) oraz obiektami Object Managera Windows.

W uproszczeniu:

  1. proces z ograniczonymi uprawnieniami tworzy specjalnie przygotowany obiekt pamięci,
  2. exploit wymusza jego mapowanie w kontekście procesu SYSTEM,
  3. atakujący uzyskuje możliwość wykonywania kodu z najwyższymi uprawnieniami.

To szczególnie groźne w środowiskach serwerowych oraz terminalowych, gdzie zwykły użytkownik potencjalnie może przejąć pełną kontrolę nad systemem.

Dlaczego to może być katastrofa dla firm?

BitLocker jest dziś domyślnie aktywowany w wielu instalacjach Windows 11. W środowiskach enterprise odpowiada za ochronę:

  • laptopów pracowników,
  • serwerów,
  • danych finansowych,
  • dokumentacji medycznej,
  • informacji rządowych,
  • backupów offline.

Jeżeli YellowKey rzeczywiście pozwala ominąć szyfrowanie przy fizycznym dostępie do urządzenia, wiele organizacji może utracić podstawową warstwę ochrony danych.

Exploit jest wysoce problematyczny, ponieważ nie wymaga znajomości hasła, łamania AES ani brute-force, ponadto działa przed pełnym uruchomieniem systemu, a pozostawiane przez niego ślady są minimalne.

Kradzież laptopa może więc automatycznie oznaczać kompromitację wszystkich danych znajdujących się na dysku.

Czy TPM + PIN rozwiązuje problem?

Częściowo – ale nie całkowicie. Badacze twierdzą, że posiadają także wariant exploita działający przeciwko konfiguracjom TPM+PIN, jednak szczegóły na ten temat nie zostały opublikowane.

Mimo to eksperci rekomendują:

  • włączenie dodatkowego PIN-u BitLockera,
  • ustawienie hasła BIOS/UEFI,
  • wyłączenie bootowania z USB,
  • zablokowanie dostępu do WinRE,
  • wdrożenie Secure Boot,
  • monitorowanie integralności bootloadera.

W środowiskach wysokiego ryzyka warto także rozważyć:

  • pre-boot authentication,
  • zewnętrzne moduły HSM,
  • segmentację danych,
  • szyfrowanie wielowarstwowe.

Microsoft milczy, a społeczność bezpieczeństwa alarmuje

Na moment publikacji artykułu Microsoft nie wydał jeszcze oficjalnego stanowiska dotyczącego YellowKey ani GreenPlasma.

Sytuację dodatkowo zaostrza fakt, że autor exploitów – badacz działający pod pseudonimem Chaotic Eclipse – twierdzi, że wcześniej próbował zgłaszać podatności zgodnie z procedurami responsible disclosure, jednak jego raporty miały zostać odrzucone.

To już kolejny przypadek, gdy po konflikcie z producentem badacz publikuje działający proof-of-concept publicznie, zwiększając ryzyko masowych ataków.

Czy BitLocker można jeszcze uznać za bezpieczny?

To pytanie będzie teraz zadawane bardzo często. Samo szyfrowanie AES wykorzystywane przez BitLocker nadal pozostaje kryptograficznie silne. Problem nie dotyczy złamania algorytmu szyfrowania, lecz obejścia procesu autoryzacji i rozruchu systemu. To fundamentalna różnica.

YellowKey pokazuje, że bezpieczeństwo całego rozwiązania zależy nie tylko od kryptografii, ale również od:

  • bootloadera,
  • TPM,
  • WinRE,
  • polityk recovery,
  • firmware UEFI,
  • konfiguracji Secure Boot.

I właśnie te elementy mogą okazać się najsłabszym ogniwem. Jedno jest pewne – jeśli publikowane informacje się potwierdzą, Microsoft będzie musiał bardzo szybko odpowiedzieć, zarówno technicznie, jak i wizerunkowo. BitLocker od lat stanowił fundament bezpieczeństwa Windows. YellowKey może sprawić, że zaufanie do tego mechanizmu zostanie poważnie zachwiane.