Szyfrowanie Windowsa złamane. Badacze nie są pewni, jak to możliwe
Zero‑day w BitLockerze brzmi groźnie. Tym razem zewnętrzni specjaliści nie są wręcz pewni jak ta luka bezpieczeństwa działa i co dokładnie jest skaszanione. Microsoft „bada sprawę”.
W sieci krąży zero‑day pozwalający całkowicie obejść domyślne zabezpieczenia BitLockera w Windows 11 i to w sposób tak prosty, że aż trudno uwierzyć, że mówimy o jednym z kluczowych mechanizmów ochrony danych w systemie Microsoftu. Sam BitLocker to fundament bezpieczeństwa Windowsa. Ma chronić dane nawet wtedy, gdy ktoś fizycznie przejmie komputer. Klucz deszyfrujący jest przechowywany w module TPM, a użytkownik ma spać spokojnie. Tymczasem YellowKey pokazuje, że ten spokój może być złudny.
Eksploit, opublikowany przez badacza znanego jako Nightmare‑Eclipse, pozwala uzyskać pełny dostęp do zaszyfrowanego dysku w ciągu kilku sekund, o ile atakujący ma fizyczny dostęp do urządzenia. Wystarczy przygotować pendrive z odpowiednio spreparowanym folderem FsTx, podłączyć go do komputera, uruchomić Windows Recovery Environment i… przytrzymać klawisz Ctrl.
Czytaj też:
Zamiast ekranu odzyskiwania pojawia się pełnoprawny wiersz poleceń z dostępem do całej zawartości dysku, bez konieczności podawania klucza odzyskiwania BitLockera
To nie jest żart ani przesada. Niezależni badacze, m.in. Kevin Beaumont i Will Dormann, potwierdzili skuteczność ataku. Dormann zwrócił uwagę na szczególnie niepokojący aspekt: mechanizm Transactional NTFS pozwala w tym scenariuszu na modyfikowanie plików jednego woluminu przez inny, co samo w sobie wygląda jak poważna luka projektowa.
Podatny komponent znajduje się wyłącznie w obrazie Windows Recovery Environment (WinRE). Badacz twierdzi wręcz, że wygląda to jak „ukryty backdoor”, bo identyczny komponent istnieje także w normalnej instalacji Windowsa, ale bez funkcji umożliwiających obejście BitLockera. To rodzi pytania, na które Microsoft będzie musiał odpowiedzieć - i to szybko.
Co gorsza, według autora exploita nawet konfiguracja BitLockera z TPM + PIN nie rozwiązuje problemu. Badacz twierdzi, że luka nadal jest wykorzystywalna, choć nie opublikował dowodu koncepcji dla tej wersji ataku. Microsoft bada sprawę, ale społeczność nie kryje frustracji.
Czy Windowsiarze powinni panikować?
Nie. Ale powinni być świadomi zagrożenia. YellowKey wymaga fizycznego dostępu do urządzenia, więc nie jest to atak, który ktoś przeprowadzi zdalnie. Z drugiej strony, w środowiskach korporacyjnych, w podróży czy w sytuacjach, gdy laptop może zostać skradziony, luka jest poważna.
Dla użytkowników oznacza to jedno: warto śledzić komunikaty Microsoftu i jak najszybciej instalować nadchodzące aktualizacje. YellowKey to nie jest drobna usterka - to luka, która podważa fundament jednego z najważniejszych zabezpieczeń Windowsa 11.
