Киберсигурност

YellowKey и GreenPlasma: Две Windows Zero-Day уязвимости удариха BitLocker

16 май 2026 г.5 мин четене

By Lina Petrov — 8 years reviewing consumer technology

YellowKey и GreenPlasma: Две Windows Zero-Day уязвимости удариха BitLocker

Изследователи по сигурността публично разкриха две непоправени Windows zero-day уязвимости, наречени YellowKey и GreenPlasma, които са насочени съответно към BitLocker криптирането и CTFMON рамката за въвеждане на текст. Вече е публикуван proof-of-concept експлойт код, което означава, че Windows BitLocker zero-day уязвимостта не е само теоретична. За милионите потребители и организации, разчитащи на BitLocker като основен елемент на своята стратегия за защита на данните, това разкритие е сериозен сигнал за тревога.

Какво всъщност правят YellowKey и GreenPlasma

YellowKey е по-тревожната от двете в непосредствен план. Тя е насочена към BitLocker — функцията за пълно криптиране на диска, вградена в Windows 10 и 11, както и в Windows Server 2022 и 2025. Като експлоатира слабост в средата за възстановяване на Windows, уязвимостта позволява на нападател с физически достъп до машина да заобиколи стандартните защити на BitLocker и да получи достъп до съдържанието на криптирания диск. На практика, откраднат лаптоп, смятан досега за сигурен зад BitLocker криптирането, може да има прочетени данни без правилния PIN или парола.

GreenPlasma е насочена към CTFMON — фонов процес на Windows, който управлява въвеждането на текст, разпознаването на ръкописен текст и езиковите настройки. Тази уязвимост позволява локално повишаване на привилегии, което означава, че нападател, получил вече опора в системата, може да повиши разрешенията си до по-високо ниво, потенциално постигайки администраторски или SYSTEM-ниво на достъп. Двете уязвимости заедно представляват опасна комбинация: едната разбива стената, защитаваща данните ви в покой, докато другата позволява по-дълбок компромис на системата, след като нападателят е вътре.

Към момента на писане Microsoft не е издал кръпки за нито една от уязвимостите. Proof-of-concept кодът е публично достъпен, което значително намалява бариерата за експлоатация от по-малко опитни заплахи.

Кой е изложен на риск и какви данни са застрашени

Всеки, който използва Windows 11 система или Windows Server 2022 и 2025 с активиран BitLocker, е потенциално засегнат от YellowKey. Изискването за физически достъп наистина ограничава повърхността на атака в сравнение с напълно отдалечен експлойт, но тази уговорка не би трябвало да дава особено успокоение. Лаптопи, използвани от служители в хибридна работна среда, устройства, съхранявани в споделени офис пространства, и машини, иззети или проверени на гранични пропускателни пунктове, са всички реалистични сценарии за заплаха.

За GreenPlasma рисковият профил е по-широк в някои отношения. Уязвимостите за локално повишаване на привилегии често се използват в комбинация с други техники за атака. Фишинг имейл, който доставя начален payload с ниски привилегии, например, може да бъде последван от GreenPlasma експлойт за получаване на пълен контрол над системата. Корпоративните среди, правителствените агенции и лицата, работещи с чувствителни файлове, са всички в прицела.

Изложените данни варират от лични документи и финансови записи до корпоративна интелектуална собственост и идентификационни данни, съхранявани на диска. Организации, работещи в рамките на регулаторни стандарти като HIPAA, GDPR или CMMC, ще трябва да оценят дали тези уязвимости засягат техните регулаторни задължения.

Защо потребителите на BitLocker не могат да разчитат само на криптиране на диска

Разкритието на YellowKey илюстрира фундаментално ограничение, което потребителите, загрижени за поверителността, често пренебрегват: криптирането защитава данните само докато самият механизъм за криптиране остава некомпрометиран. BitLocker е проектиран да защитава срещу офлайн атаки — предимно сценарии, при които дискът се изважда и чете на друга машина. Той не е проектиран да бъде непробиваема крепост срещу изтънчен нападател, въоръжен с zero-day експлойт, насочен към самия процес, управляващ отключването на диска.

Това е основният аргумент за защита в дълбочина. Разчитането на единствен контрол за сигурност, колкото и доверен да е той, създава единна точка на отказ. Когато този контрол бъде заобиколен, между нападателя и вашите данни не остава нищо. Същата логика се прилага и към заплахите на мрежово ниво: криптирането на трафика при пренос чрез VPN не ви защитава, ако крайната ви точка вече е компрометирана, а сигурността на крайната точка не защитава данни, течащи некриптирани през ненадеждна мрежа.

Появата на тези две уязвимости служи и като напомняне, че заплашителните участници не винаги се нуждаят от сложна инфраструктура, за да причинят сериозни щети. Както е документирано в кампании като фалшивите правителствени сайтове, насочени към граждани по целия свят, социалното инженерство и широко достъпните инструменти често се комбинират с публично налични експлойти с опустошителен ефект. Публичен PoC за заобикаляне на BitLocker значително намалява изискванията за умения.

Стъпки за защита в дълбочина: кръпки, VPN мрежи и многопластова сигурност

До издаването на официални кръпки от Microsoft, потребителите и администраторите трябва да предприемат следните стъпки.

Следете за актуализации на сигурността от Microsoft. Дръжте Windows Update активиран и проверявайте за извънредни кръпки, особено предвид публичната достъпност на PoC код. Когато кръпките пристигнат, приоритизирайте тяхното внедряване.

Активирайте BitLocker с PIN. Стандартната конфигурация на BitLocker само с TPM е по-уязвима към този клас атаки. Конфигурирането на BitLocker да изисква PIN преди зареждане добавя слой на триене, който повишава бариерата за физически нападатели.

Ограничете физическия достъп. За машини с висока стойност физическите мерки за сигурност имат значение. Заключени сървърни стаи, кабелни ключалки за лаптопи и ясни политики за устройства без надзор — всичко това намалява повърхността на атака за YellowKey.

Наслоете контролите си за сигурност. Криптирането на диска е един слой, а не пълна стратегия. Комбинирайте го с инструменти за засичане и реагиране на крайни точки, мрежово криптиране за данни при пренос, силна автентикация и мрежова сегментация. VPN гарантира, че дори ако нападател се придвижи от компрометирана крайна точка, изходящите данни няма да бъдат изложени в открит текст в мрежата.

Одитирайте привилегированите акаунти. Предвид риска от повишаване на привилегии чрез GreenPlasma, прегледайте кои акаунти имат права на локален администратор на крайните точки. Намаляването на ненужните привилегии ограничава радиуса на щетите при използване на експлойт.

Какво означава това за вас

Разкритията на YellowKey и GreenPlasma са конкретно напомняне, че нито един единствен инструмент за сигурност не осигурява пълна защита. Ако цялата ви стратегия за сигурност на данните почива на BitLocker, сега е моментът да одитирате по-широкия стек. Помислете какво се случва, ако BitLocker бъде заобиколен: има ли друг слой, защитаващ най-чувствителните ви файлове? Криптиран ли е мрежовият ви трафик независимо от диска? Съхраняват ли се сигурно идентификационните ви данни и ключовете за възстановяване?

Проактивните стъпки имат по-голямо значение преди инцидент, отколкото след него. Прегледайте текущите си контроли за сигурност, приложете наличните мерки за смекчаване и третирайте тези разкрития като възможност да укрепите слоевете, които BitLocker сам по себе си не може да покрие.

// FAQ

Какво е YellowKey и какво е неговата цел?

YellowKey е непоправена Windows zero-day уязвимост, насочена към BitLocker — функцията за пълно криптиране на диска, вградена в Windows 10, 11 и Windows Server 2022 и 2025. Тя експлоатира слабост в средата за възстановяване на Windows, за да позволи на нападател с физически достъп да заобиколи защитите на BitLocker и да прочете съдържанието на криптирания диск.

Какво прави уязвимостта GreenPlasma?

GreenPlasma е насочена към CTFMON — фонов процес на Windows, който управлява въвеждането на текст, разпознаването на ръкописен текст и езиковите настройки. Тя позволява локално повишаване на привилегии, давайки възможност на нападател, получил вече опора в системата, да повиши разрешенията си до администраторски или SYSTEM-ниво на достъп.

Издал ли е Microsoft кръпки за YellowKey и GreenPlasma?

Не, към момента на писане на статията Microsoft не е издал кръпки за нито една от двете уязвимости. Proof-of-concept експлойт кодът вече е публично достъпен, което намалява бариерата за експлоатация от по-малко опитни заплашителни участници.

Изисква ли YellowKey физически достъп за експлоатация?

Да, YellowKey изисква нападателят да има физически достъп до целевата машина, за да заобиколи защитите на BitLocker. Реалистичните сценарии за заплаха включват откраднати лаптопи, устройства в споделени офис пространства и машини, иззети на гранични пропускателни пунктове.

Как би могла GreenPlasma да бъде използвана в реална атака?

GreenPlasma може да бъде комбинирана с други техники за атака, като например фишинг имейл, доставящ начален payload с ниски привилегии, последван от GreenPlasma експлойт за получаване на пълен контрол над системата. Корпоративните среди, правителствените агенции и лицата, работещи с чувствителни файлове, се считат за изложени на риск.

YellowKey и GreenPlasma: Две Windows Zero-Day уязвимости удариха BitLocker

Какво всъщност правят YellowKey и GreenPlasma

Кой е изложен на риск и какви данни са застрашени

Защо потребителите на BitLocker не могат да разчитат само на криптиране на диска

Стъпки за защита в дълбочина: кръпки, VPN мрежи и многопластова сигурност

Какво означава това за вас

// FAQ

// Свързани