Windows 11: Критическая уязвимость BitLocker обходится через USB-накопитель

Независимый исследователь опубликовал доказательство концепции уязвимости, которая позволяет считывать содержимое жесткого диска, зашифрованного BitLocker, с помощью обычного USB-накопителя. Предполагается, что уязвимость использует механизм чтения журнала транзакций NTFS внешнего тома средой восстановления Windows. Автор открытия считает это намеренным действием.

Названная автором YellowKey, эта уязвимость одновременно проста в реализации — достаточно иметь подготовленный USB-накопитель и физический доступ к компьютеру — и крайне проблематична, поскольку она компрометирует BitLocker, механизм шифрования, призванный обеспечивать конфиденциальность информации, хранящейся на устройствах в среде Windows.

Уязвимость, представленная как «черная лазейка»

Доказательство концепции, опубликованное на GitHub 12 мая, представляет собой папку «FsTx», которую нужно скопировать на USB-накопитель. Затем атакующий подключает USB-накопитель к компьютеру под Windows, зашифрованному BitLocker, и загружается, активируя среду восстановления Windows (WinRE). Автор, известный как Nightmare-Eclipse, утверждает: «Если все сделано правильно, откроется командная оболочка с неограниченным доступом к тому, защищенному BitLocker».

Таким образом, через это окно командной строки (cmd.exe) содержимое диска становится доступным без необходимости ввода ключа восстановления BitLocker, который обычно требуется. Несколько исследователей безопасности, включая Уилла Дорманна и Кевина Бомонта, подтвердили возможность воспроизведения этого действия, тем самым подтверждая наличие уязвимости, хотя и с оговорками относительно некоторых ее аспектов.

Кевин Бомонт в Mastodon отметил: «Я только что провел быстрый тест, и да, это работает. По сути, BitLocker имеет бэкдор». Nightmare-Eclipse также поддерживает гипотезу о «черной лазейке» (backdoor) в своем файле Readme для доказательства концепции:

«Почему я считаю это бэкдором? Компонент, ответственный за эту ошибку, не встречается нигде (даже в Интернете), кроме образа WinRE. Что беспокоит, так это то, что тот же компонент, с тем же именем, присутствует и в обычной установке Windows, но без функций, позволяющих обойти BitLocker. Почему? Я не вижу другого объяснения, кроме как намеренное внедрение.»

Недавние события, вероятно, подпитывают теории заговора: например, в начале года вновь всплыла информация о том, что Microsoft может передавать властям ключи BitLocker по судебному ордеру, если они хранятся на ее серверах. В данном случае уязвимость работает только если ключи хранятся локально, на чипе TPM (Trusted Platform Module). Является ли этот бэкдор решением, найденным Microsoft для обхода пользователей, не доверяющих облаку? На данном этапе ничего не позволяет это утверждать.

История BitLocker, разрабатываемого с 2004 года и представленного двумя годами позже с Windows Vista, за эти годы выявила множество уязвимостей, включая обход, продемонстрированный в начале 2025 года, который также осуществлялся с помощью USB-накопителя, хотя тогда нагрузка оказалась сложнее, чем в доказательстве концепции YellowKey.

Безопасность Windows запятнана несколькими уязвимостями нулевого дня

По мнению Уилла Дорманна, уязвимость может быть связана с транзакционным режимом NTFS и тем, как он позволяет каталогу на внешнем носителе изменять содержимое другого тома при его чтении.

Если его анализ подтвердится, уязвимость не будет означать, что шифрование BitLocker/TPM изначально дефектно, а скорее, что Windows содержит дефект, компрометирующий целостность его реализации. «Этот процесс гарантирует (за исключением уязвимостей TPM), что диск будет расшифровываться только на исходном компьютере с исходной операционной системой. Однако он не гарантирует, что последняя впоследствии не предоставит корневой доступ тому, кто введет «чит-код», что именно и происходит здесь», — считает один из читателей Hackernews.

В анонимном блоге автор открытия подтверждает правильность направления анализа, не вдаваясь в более точные технические детали. Он также утверждает, что располагает еще одним доказательством концепции, которое может аннулировать методы защиты, упомянутые Дорманном или Бомонтом в их анализах, в частности, связывание шифрования BitLocker с PIN-кодом.

Он также выражает явное недовольство Microsoft. Согласно его описанию в первом публичном сообщении, это недовольство связано с реакцией команд разработчика на предыдущую уязвимость безопасности, обнаруженную им в апреле. Названная Bluehammer и также опубликованная на GitHub, она была направлена на Windows Defender и позволяла повышение привилегий в Windows. «Microsoft решила усугубить ситуацию, вместо того чтобы решить ее по-взрослому. Они прибегли ко всем возможным детским маневрам. Моему терпению есть предел, и вы заставляете всех платить», — пишет Nightmare-Eclipse, обещая дополнительные «боеприпасы» в своей вендетте против разработчика.

Публикация YellowKey сопровождалась публикацией другого эксплойта, GreenPlasma, а затем случайным обнаружением MiniPlasma — уязвимости нулевого дня, тем более досадной, что она повторяет условия уязвимости, обнаруженной в 2020 году Джеймсом Форшоу из Google Project Zero (который, к слову, уже отличился в обнаружении уязвимостей TrueCrypt десять лет назад). «После расследования оказалось, что та же проблема, о которой Google Project Zero сообщал Microsoft, все еще присутствует и не исправлена», — утверждает Nightmare-Eclipse.

Microsoft, недавно выпустившая свой традиционный ежемесячный набор исправлений безопасности во время «вторника патчей», пока публично не отреагировала на эти уязвимости.