Досвідчений дослідник безпеки, відомий під псевдонімом Chaotic Eclipse, знову виявив критичну вразливість у програмному забезпеченні Microsoft, цього разу націлену на функцію шифрування BitLocker. Ця нова експлуатація, названа “Yellow Key”, дозволяє отримати повний доступ до зашифрованих дисків, обходячи стандартні механізми безпеки, що викликає серйозні запитання щодо надійності захисту даних мільйонів користувачів.
Виявлена вразливість дозволяє обійти захист BitLocker лише шляхом копіювання кількох файлів на USB-накопичувач та перезавантаження комп’ютера в середовище відновлення Windows. Після цих простих дій, система надає доступ до командного рядка з повними правами, дозволяючи переглядати та модифікувати будь-які дані на раніше заблокованому диску без необхідності введення паролів чи ключів шифрування.
Експерти відзначають, що подібний спосіб роботи експлойту, а також автоматичне видалення його файлів з USB-накопичувача після використання, нагадує бекдор, що може вказувати на складніші причини виникнення даної проблеми. Вразливість, за попередньою інформацією, працює на Windows Server 2022 і 2025, але не впливає на Windows 10.
BitLocker використовується мільйонами користувачів у всьому світі, часто ввімкнений за замовчуванням у Windows 11, що робить цю знахідку особливо небезпечною. Хоча зазвичай шифрування прив’язане до TPM-чіпа конкретного пристрою, викрадення самого комп’ютера з таким захистом тепер стає значно простішим.
За словами Chaotic Eclipse, навіть використання комбінації TPM та PIN-коду не захищає від цієї вразливості, оскільки існує версія експлойту, яка обходить і цей додатковий рівень захисту. Дослідник також зазначив, що не має наміру продавати цю інформацію, а його дії мотивовані прагненням протистояти політиці безпеки Microsoft.
Паралельно з “Yellow Key”, дослідник анонсував інший експлойт, “Green Plasma”, який, хоча і не має повного демонстраційного коду, нібито дозволяє отримати доступ до системного рівня, перехоплюючи процес CTFMon. Це дає змогу маніпулювати об’єктами пам’яті, обходячи стандартні засоби контролю доступу, що може призвести до повного контролю над сервером і даними користувачів.
На момент публікації, компанія Microsoft офіційно не коментувала появу вразливостей “Yellow Key” та “Green Plasma”. Раніше виявлені експлойти “Blue Hammer” вже були виправлені, а щодо “Red Sun” Microsoft нібито випустила патч, проте жодного офіційного підтвердження цій інформації немає.
