北京
大多数人从没想过BitLocker会出问题。这个加密层在后台默默运行,绑定TPM芯片,设计初衷就是:就算有人偷走你的笔记本,硬盘数据依然是乱码。这个基本假设支撑了整个系统的存在,但现在被推翻了。
5月12日,代号为Nightmare-Eclipse的研究者发布了一个名为"YellowKey"的概念验证工具,针对Windows 11和Server 2022/2025,奇怪的是Windows 10完全不受影响。整个攻击工具可以装进一个文件夹拷进U盘,触发方式是在正常重启进入Windows恢复环境时按住CTRL键。这是一个极其难堪的BitLocker绕过漏洞——难堪到披露它的研究者认为这就是个后门。
该概念验证针对的是TPM-only模式的BitLocker,这也是大多数消费级设备的默认配置。研究者声称同样的漏洞也适用于TPM+PIN模式,但拒绝发布该版本,表示"已经公开的内容已经够糟糕了"。独立复现已获确认,安全研究者KevTheHermit在Windows 11 build 10.0.26100.1上运行了完整步骤,并在X平台发布了结果。
攻击步骤简单得离谱。把FsTx文件夹复制到U盘System Volume Information目录下的特定路径,插入锁定的Windows 11机器,按住Shift点击重启进入Windows恢复环境。点击重启的瞬间松开Shift,按住CTRL不放。如果时机把握准确,命令提示符会以完全权限打开,可以无限制访问加密卷,之后用diskpart挂载BitLocker保护的分区,随意读取任何内容。
研究者还指出,严格来说U盘都不是必需的。只要能把目标机器的硬盘拆下来,往EFI系统分区写入FsTx文件夹,再装回去,漏洞照样触发。这绕过了部分企业镜像部署的"禁止可移动介质"缓解措施。干净复现需要几次尝试,KevTheHermit的测试笔记提到可能需要在尝试之间格式化U盘并重置文件,但这只是给攻击者添麻烦,不是对攻击本身的防御。
YellowKey的README解释称,负责绕过的组件只存在于WinRE镜像中,而正常Windows安装里存在同名组件,却没有触发绕过的功能。研究者表示他们相信这就是后门,写道"除了这是故意设计的,我想不出其他解释"。
Windows 10完全不受影响,这一点格外奇怪。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
