Microsoft предложила временное решение для уязвимости YellowKey в BitLocker

Исследователь безопасности, скрывающийся под псевдонимом Nightmare-Eclipse, опубликовал данные о ряде уязвимостей, получивших кодовые названия YellowKey и GreenPlasma. Автор не ограничился описанием векторов атак, но и подготовил соответствующие эксплойты для демонстрации рисков.

Механика YellowKey и позиция Microsoft

Уязвимость YellowKey затрагивает среду восстановления Windows (WinRE) и позволяет злоумышленникам обходить механизмы шифрования BitLocker. Microsoft на данный момент не предоставила полноценного патча, ограничившись рекомендациями для системных администраторов по минимизации рисков. Чтобы обезопасить инфраструктуру, в компании советуют использовать комбинацию TPM и обязательного ввода PIN-кода при загрузке. Альтернативным методом защиты является удаление файла AutoFSTX.exe из параметров BootExecute внутри среды WinRE. Если BitLocker уже настроен на использование PIN-кода, риск эксплуатации YellowKey практически нивелируется; остальным пользователям предлагается использовать официальный скрипт от вендора.

Анализ уязвимостей специалистами LevelBlue

Аналитики из LevelBlue провели аудит раскрытых Nightmare-Eclipse багов и пришли к выводу, что значительная часть проблем остается нерешенной. Хотя Microsoft удалось купировать угрозу, связанную с эксплойтом BlueHammer для Windows Defender, такие уязвимости, как RedSun и UnDefend, остаются активными. Текущее «исправление» YellowKey носит лишь частичный характер, а информация о GreenPlasma, к счастью для индустрии, не была опубликована в полном объеме, что пока сдерживает ее широкое распространение.Проще говоря, для реализации подобных сценариев атаки злоумышленнику всё еще требуется либо физический доступ к целевому компьютеру, либо наличие скомпрометированных учетных данных, полученных, скажем, через взломанный VPN-аккаунт. В дополнение к мерам Microsoft, эксперты LevelBlue настоятельно рекомендуют отключить возможность загрузки с внешних USB-носителей, а также активировать механизмы ASR (Attack Surface Reduction) в настройках Microsoft Defender. Эти настройки позволяют существенно ограничить вектор атаки, даже если в системе сохраняются уязвимые компоненты.