Ένας ερευνητής γνωστός σαν “Nightmare-Eclipse” κυκλοφόρησε πρόσφατα το YellowKey, ένα κενό ασφαλείας που επιτρέπει την πλήρη παράκαμψη της κρυπτογράφησης του BitLocker. Ο ερευνητής περιγράφει το YellowKey σαν ένα από τα πιο “τρελά” ελαττώματα που έχει αντιμετωπίσει ποτέ και κατηγορεί τη Microsoft ότι ενδεχομένως ενσωμάτωσε ένα νόμιμο backdoor στο σύστημα προστασίας δεδομένων του BitLocker.
Σύμφωνα με τον ερευνητή, το YellowKey φαίνεται ασυνήθιστο για ένα σφάλμα ασφαλείας. Ο Nightmare-Eclipse αναφέρει ότι το κενό ασφαλείας μπορεί να αναπαραχθεί αντιγράφοντας έναν συνημμένο φάκελο “FsTx” σε μια μονάδα USB που έχει διαμορφωθεί με ένα σύστημα αρχείων συμβατό με Windows, όπως NTFS, FAT32 ή exFAT.
Το κενό ασφαλείας μπορεί επίσης να λειτουργήσει και χωρίς USB εάν τα αρχεία FsTx αντιγραφούν στο διαμέρισμα EFI των Windows και ο κρυπτογραφημένος δίσκος αποσυνδεθεί προσωρινά από το σύστημα. Μετά την τοποθέτηση του φακέλου FsTx, ένας εισβολέας θα πρέπει να επανεκκινήσει ένα μηχάνημα που προστατεύεται από BitLocker, να εισέλθει στο Περιβάλλον Ανάκτησης των Windows και να ακολουθήσει μια συγκεκριμένη ακολουθία.
Εάν η διαδικασία ολοκληρωθεί σωστά, εμφανίζεται ένα command shell, το οποίο παρέχει απεριόριστη πρόσβαση σε δίσκους που προστατεύονται από το BitLocker. Δεν απαιτούνται κωδικοί πρόσβασης και τα κρυπτογραφημένα δεδομένα μπορούν να γίνουν πλήρως προσβάσιμα για περιήγηση, αντιγραφή και άλλες λειτουργίες αρχείων.
Ο Nightmare-Eclipse πιστεύει ότι η ευπάθεια του YellowKey θα μπορούσε εύλογα να θεωρηθεί σαν ένα backdoor που προστέθηκε σκόπιμα στο BitLocker από τη Microsoft. Το σκεπτικό τους είναι ότι το στοιχείο που ενεργοποιεί το πρόβλημα μπορεί να βρεθεί μόνο στην επίσημη εικόνα του WinRE. Το ίδιο στοιχείο υπάρχει επίσης και σε τυπικές εικόνες εγκατάστασης των Windows, αλλά δεν παρουσιάζει τη συμπεριφορά παράκαμψης του BitLocker που παρατηρείται σε live συστήματα.
Ο ερευνητής ανέφερε ότι “δεν μπορεί να βρει μια εξήγηση εκτός από το γεγονός ότι το κενό ασφαλείας είναι σκόπιμο. Επίσης, για κάποιο λόγο, μόνο τα Windows 11 (+Server 2022/2025) επηρεάζονται, τα Windows 10 όχι”.
Άλλοι ερευνητές επιβεβαιώνουν ότι το YellowKey συμπεριφέρεται όπως περιγράφεται από τον Nightmare-Eclipse στο GitHub. Επιπλέον, ο ερευνητής κυκλοφόρησε ένα δεύτερο exploit, το GreenPlasma, το οποίο επιτρέπει την κλιμάκωση δικαιωμάτων. Δεν δημοσίευσε το πλήρες proof-of-concept για την επίτευξη πρόσβασης σε επίπεδο SYSTEM, αλλά ανέφερε ότι ενδέχεται να αποκαλύψει περισσότερες λεπτομέρειες πριν από την Patch Tuesday του επόμενου μήνα.
Ο Nightmare-Eclipse είναι γνωστός για τη στόχευση της Microsoft, και πριν λειτουργούσε με το ψευδώνυμο “Chaotic Eclipse“.
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
