Recent, o vulnerabilitate zero-day a fost descoperită, permițând accesul neautorizat la sistemele Windows 11, chiar și atunci când sunt protejate prin BitLocker. Această breșă de securitate, denumită YellowKey, a fost făcută publică de un cercetător care folosește pseudonimul Nightmare-Eclipse. Exploatarea acestei vulnerabilități permite ocolirea protecțiilor BitLocker, un sistem de criptare integrală a discului oferit de Microsoft, destinat să protejeze conținutul acestuia împotriva accesului neautorizat.
BitLocker, care utilizează un modul de platformă de încredere (TPM) pentru a stoca cheia de decriptare, este considerat un standard de securitate esențial, mai ales în organizațiile care colaborează cu instituții guvernamentale. Totuși, YellowKey folosește un director special creat, numit FsTx, pentru a ocoli aceste măsuri de securitate. Detaliile despre modul exact în care acest director afectează BitLocker sunt încă neclare, dar se presupune că este legat de NTFS tranzacțional, un sistem care permite operațiuni de fișiere în cadrul unor tranzacții.
Pentru a exploata această vulnerabilitate, atacatorul trebuie să aibă acces fizic la sistem. Procesul începe cu repornirea computerului și accesarea promptului de comandă înainte ca Windows să înceapă să se încarce complet. În mod normal, pentru a accesa datele, ar fi necesară introducerea unei chei de recuperare BitLocker, dar YellowKey anulează această necesitate, permițând atacatorului să copieze, modifice sau șteargă datele de pe disc.
Analiza mai profundă a directorului FsTx folosit în exploit arată că nu conține referințe directe la un fișier numit RecoverySimulation.ini, dar include referințe la alți indicatori, cum ar fi căile de sistem specifice Windows. Această descoperire ridică întrebări importante despre modul în care interacțiunile între diferite volume de sistem pot fi manipulate pentru a compromite securitatea.
Specialiștii în securitate, inclusiv Kevin Beaumont și Will Dormann, au confirmat funcționalitatea acestei metode, subliniind o posibilă legătură între structura NTFS tranzacțională și vulnerabilitatea descoperită. Cu toate acestea, rămân multe întrebări fără răspuns, inclusiv modul exact în care directorul FsTx influențează alte volume atunci când este reutilizat într-un context diferit.
Această vulnerabilitate arată încă o dată cât de importantă este securitatea sistemică și nevoia continuă de vigilență și actualizare a măsurilor de protecție. Este esențial ca utilizatorii și organizațiile să fie conștienți de aceste riscuri și să aplice cele mai recente actualizări de securitate pentru a-și proteja datele. Întrebarea care rămâne este: cum vor evolua metodele de protecție în fața unor astfel de vulnerabilități sofisticate?
Sursa: Ars Tehnica Technology
Poll: Care crezi că ar trebui să fie prioritare în evoluția metodelor de protecție împotriva vulnerabilităților precum YellowKey?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply