Опытный исследователь безопасности, известный под псевдонимом Chaotic Eclipse, снова обнаружил критическую уязвимость в программном обеспечении Microsoft, на этот раз нацеленную на функцию шифрования BitLocker. Эта новая эксплойтация, названная «Yellow Key», позволяет получить полный доступ к зашифрованным дискам, обходя стандартные механизмы безопасности, что вызывает серьезные вопросы относительно надежности защиты данных миллионов пользователей.
Обнаруженная уязвимость позволяет обойти защиту BitLocker лишь путем копирования нескольких файлов на USB-накопитель и перезагрузки компьютера в среду восстановления Windows. После этих простых действий, система предоставляет доступ к командной строке с полными правами, позволяя просматривать и модифицировать любые данные на ранее заблокированном диске без необходимости ввода паролей или ключей шифрования.
Эксперты отмечают, что подобный способ работы эксплойта, а также автоматическое удаление его файлов с USB-накопителя после использования, напоминает бэкдор, что может указывать на более сложные причины возникновения данной проблемы. Уязвимость, по предварительной информации, работает на Windows Server 2022 и 2025, но не влияет на Windows 10.
BitLocker используется миллионами пользователей по всему миру, часто включен по умолчанию в Windows 11, что делает эту находку особенно опасной. Хотя обычно шифрование привязано к TPM-чипу конкретного устройства, похищение самого компьютера с такой защитой теперь становится значительно проще.
По словам Chaotic Eclipse, даже использование комбинации TPM и PIN-кода не защищает от этой уязвимости, поскольку существует версия эксплойта, которая обходит и этот дополнительный уровень защиты. Исследователь также отметил, что не имеет намерения продавать эту информацию, а его действия мотивированы стремлением противостоять политике безопасности Microsoft.
Параллельно с «Yellow Key», исследователь анонсировал другой эксплойт, «Green Plasma», который, хотя и не имеет полного демонстрационного кода, якобы позволяет получить доступ к системному уровню, перехватывая процесс CTFMon. Это дает возможность манипулировать объектами памяти, обходя стандартные средства контроля доступа, что может привести к полному контролю над сервером и данными пользователей.
На момент публикации, компания Microsoft официально не комментировала появление уязвимостей «Yellow Key» и «Green Plasma». Ранее обнаруженные эксплойты «Blue Hammer» уже были исправлены, а относительно «Red Sun» Microsoft якобы выпустила патч, однако никакого официального подтверждения этой информации нет.
