Ένα zero-day exploit επιτρέπει σε άτομα που λειτουργούν στο διαδίκτυο με φυσική πρόσβαση σε ένα σύστημα Windows 11 να παρακάμψουν τις προεπιλεγμένες προστασίες BitLocker και να αποκτήσουν πλήρη πρόσβαση σε μια κρυπτογραφημένη μονάδα δίσκου μέσα σε δευτερόλεπτα.
Το exploit, που ονομάστηκε YellowKey, ήταν δημοσιευμένο Νωρίτερα αυτή την εβδομάδα ένας ερευνητής που χρησιμοποιεί το ψευδώνυμο Nightmare-Eclipse. Παρακάμπτει αξιόπιστα τις προεπιλεγμένες αναπτύξεις των Windows 11 του BitLocker, παρέχοντας προστασία κρυπτογράφησης πλήρους όγκου σε περιεχόμενο δίσκου εκτός ορίου χωρίς κλειδί αποκρυπτογράφησης της Microsoft, το οποίο είναι αποθηκευμένο σε ένα ασφαλές κομμάτι υλικού γνωστό ως Trusted Platform Module (TPM). Το BitLocker είναι μια υποχρεωτική προστασία για πολλούς οργανισμούς, συμπεριλαμβανομένων εκείνων που έχουν συμβάσεις με κυβερνήσεις.
Όταν ένας τόμος δίσκου χειρίζεται έναν άλλο
Η ρίζα του εκμεταλλεύματος YellowKey είναι ένας προσαρμοσμένος φάκελος FsTx. Η ηλεκτρονική τεκμηρίωση για αυτόν τον φάκελο είναι δύσκολο να βρεθεί. Όπως εξηγήθηκε αργότερα, το αρχείο fstx.dll φαίνεται να περιλαμβάνει αυτό που η Microsoft αποκαλεί τον κατάλογο που σχετίζεται με αυτό Οι συναλλαγές είναι NTFSπου επιτρέπει στους προγραμματιστές να έχουν “ατομικότητα συναλλαγών” για λειτουργίες αρχείων όταν ασχολούνται με ένα μόνο αρχείο, πολλά αρχεία ή αρχεία που εκτείνονται σε πολλές πηγές.
Τα βήματα για την εκτέλεση της παράκαμψης είναι απλά:
- Αντιγράψτε τον προσαρμοσμένο φάκελο FsTx από τη σελίδα εκμετάλλευσης Nightmare-Eclipse σε μια μονάδα USB με μορφοποίηση NTFS ή FAT
- Συνδέστε τη μονάδα USB στη συσκευή που προστατεύεται από το BitLocker
- Εκκινήστε τη συσκευή και πατήστε αμέσως και κρατήστε πατημένο το πλήκτρο (Ctrl).
- Εισαγάγετε το Windows Recovery
Υπάρχουν τουλάχιστον δύο τρόποι για να ολοκληρώσετε το τρίτο βήμα. Ένας τρόπος είναι να κάνετε εκκίνηση στα Windows, να κρατήσετε πατημένο το πλήκτρο (Shift), να κάνετε κλικ στο εικονίδιο Power και να κάνετε κλικ στο Restart. Ένα άλλο είναι να ενεργοποιήσετε τη συσκευή και να την επανεκκινήσετε αμέσως μόλις ξεκινήσει η εκκίνηση των Windows.
Και στις δύο περιπτώσεις, θα εμφανιστεί μια γραμμή εντολών (CMD.EXE). Η προτροπή έχει πλήρη πρόσβαση σε ολόκληρο το περιεχόμενο της μονάδας δίσκου, επιτρέποντας σε έναν εισβολέα να τα αντιγράψει, να τροποποιήσει ή να τα διαγράψει. Σε μια τυπική ροή ανάκτησης των Windows, ένας εισβολέας θα πρέπει να εισαγάγει ένα κλειδί ανάκτησης BitLocker. Κατά κάποιο τρόπο, η εκμετάλλευση YellowKey παρακάμπτει αυτήν την προστασία. Αρκετοί ερευνητές συμπεριλαμβανομένου του Dr Κέβιν Μπομοντ Και Ο Γουίλ ΝτόρμανΕπιβεβαιώθηκε ότι το exploit λειτουργεί όπως περιγράφεται εδώ.
Δεν είναι σαφές τι προκαλεί την παράκαμψη στον προσαρμοσμένο φάκελο FsTx. Ο Dorman λέει ότι φαίνεται να σχετίζεται με συναλλακτικό NTFS, το οποίο χρησιμοποιεί ο ίδιος Το σύστημα αρχείων καταγραφής εντολών Κάτω από την κουκούλα, ο Dorman σημειώνει επίσης ότι κοιτάζοντας το Windows fstx.dll, μπορεί κανείς να δει κώδικα που αναζητά ρητά το \System Volume Information\FsTx στη συνάρτηση FsTxFindSessions().
