Исследователь в области кибербезопасности, известный под псевдонимом Nightmare-Eclipse, раскрыл информацию о критической уязвимости нулевого дня в операционной системе Microsoft Windows 11. Проблема, получившая название YellowKey, позволяет злоумышленнику с физическим доступом к устройству обойти стандартную защиту BitLocker и получить полный доступ к зашифрованным данным всего за несколько секунд.
BitLocker — это технология полного шифрования диска, которая защищает данные от несанкционированного доступа при потере или краже устройства. Ключ расшифровки хранится в модуле TPM (Trusted Platform Module), что делает стандартную конфигурацию BitLocker уязвимой для атак, использующих данный эксплойт.
Исследователь назвал уязвимость «почти похожей на бэкдор», поскольку ошибка проявляется не в самой операционной системе, а в среде восстановления Windows (WinRE — Windows Recovery Environment). В самой Windows отсутствует необходимая функциональность для запуска обхода.
Для эксплуатации уязвимости злоумышленнику необходимо скопировать специально созданную папку FsTx (которая обеспечивает атомарность транзакций для файловых операций) в определённый путь на диске восстановления. Далее требуется загрузить компьютер в среде WinRE и выполнить простую последовательность нажатий клавиш.
В результате злоумышленник получит доступ к командной строке с полными правами на чтение, копирование, изменение и удаление любых файлов на зашифрованном диске. Обычно для доступа к данным в WinRE требуется ключ восстановления BitLocker, однако YellowKey полностью обходит эту защиту.
Согласно имеющимся данным, уязвимость затрагивает следующие операционные системы со стандартной конфигурацией
BitLocker:
Windows 11
Windows Server 2022
Windows Server 2025
Системы с Windows 10 не подвержены данной уязвимости. Кроме того, пользователи, которые используют дополнительную аутентификацию при загрузке (например, PIN-код или USB-ключ безопасности), как правило, лучше защищены от такого рода атак.
Уязвимость YellowKey работает только со стандартной конфигурацией BitLocker, в которой ключи расшифровки хранятся исключительно в TPM. Для защиты от данной атаки рекомендуется:
Использовать дополнительную аутентификацию при загрузке (PIN-код или USB-ключ) в настройках BitLocker.
Отключить загрузку со сменных носителей в BIOS/UEFI и установить пароль на BIOS/UEFI.
Следить за выходом официальных обновлений безопасности от Microsoft, которые устранят данную уязвимость.
Несколько независимых исследователей подтвердили работоспособность эксплойта YellowKey. Также был обнаружен второй эксплойт, получивший название GreenPlasma, который позволяет повысить привилегии до уровня SYSTEM, используя доверенные пути, применяемые службами и драйверами ядра. Полный код этого эксплойта не был опубликован из-за опасений серьёзных злоупотреблений.