Co je YellowKey a na co cílí?

YellowKey je neopravená zero-day zranitelnost Windows, která cílí na BitLocker, funkci úplného šifrování disku zabudovanou do Windows 10, 11 a Windows Server 2022 a 2025. Zneužívá slabinu v prostředí Windows Recovery Environment, aby umožnila útočníkovi s fyzickým přístupem obejít ochrany BitLockeru a číst obsah šifrované jednotky.

Co dělá zranitelnost GreenPlasma?

GreenPlasma cílí na CTFMON, proces na pozadí systému Windows, který spravuje textový vstup, rozpoznávání rukopisu a jazyková nastavení. Umožňuje lokální eskalaci oprávnění, což útočníkovi, který již získal oporu v systému, dovoluje zvýšit svá oprávnění na úroveň správce nebo přístupu SYSTEM.

Vydal Microsoft záplaty pro YellowKey a GreenPlasma?

Ne, v době psaní článku Microsoft nevydal záplaty pro žádnou z těchto zranitelností. Kód proof-of-concept exploitu je již veřejně dostupný, což snižuje bariéru pro zneužití méně sofistikovanými aktéry hrozeb.

Vyžaduje YellowKey fyzický přístup k zneužití?

Ano, YellowKey vyžaduje, aby měl útočník fyzický přístup k cílovému zařízení, aby mohl obejít ochrany BitLockeru. Realistické scénáře hrozeb zahrnují odcizené laptopy, zařízení ve sdílených kancelářských prostorách a stroje zabavené na hraničních přechodech.

Jak by mohla být GreenPlasma použita při skutečném útoku?

GreenPlasma může být řetězena s jinými technikami útoku, například phishingovým e-mailem doručujícím počáteční payload s nízkými oprávněními, následovaným exploitem GreenPlasma pro získání plné kontroly nad systémem. Za ohrožené jsou považovány firemní prostředí, vládní agentury a jednotlivci pracující s citlivými soubory.

YellowKey a GreenPlasma: Dvě zero-day zranitelnosti Windows útočí na BitLocker

Bezpečnostní výzkumníci veřejně zveřejnili dvě neopravené zero-day zranitelnosti Windows, pojmenované YellowKey a GreenPlasma, které cílí na šifrování BitLocker a vstupní framework CTFMON. Kód proof-of-concept exploitu byl již zveřejněn, což znamená, že zero-day zranitelnost BitLoaderu není jen teoretická. Pro miliony uživatelů a organizací spoléhajících na BitLocker jako na základní kámen své strategie ochrany dat je toto odhalení vážným varovným signálem.

Co YellowKey a GreenPlasma skutečně dělají

YellowKey je ze dvou zranitelností okamžitě znepokojivější. Cílí na BitLocker, funkci úplného šifrování disku zabudovanou do Windows 10 a 11, stejně jako do Windows Server 2022 a 2025. Zneužitím slabiny v prostředí Windows Recovery Environment umožňuje zranitelnost útočníkovi s fyzickým přístupem k zařízení obejít výchozí ochrany BitLockeru a získat přístup k obsahu šifrované jednotky. V praxi to znamená, že odcizený laptop, který byl dříve považován za bezpečný díky šifrování BitLocker, může mít svá data přečtena bez správného PIN kódu nebo hesla.

GreenPlasma cílí na CTFMON, proces na pozadí systému Windows, který spravuje textový vstup, rozpoznávání rukopisu a jazyková nastavení. Tato zranitelnost umožňuje lokální eskalaci oprávnění, což znamená, že útočník, který již získal oporu v systému, může zvýšit svá oprávnění na vyšší úroveň a potenciálně dosáhnout přístupu na úrovni správce nebo SYSTEM. Obě zranitelnosti dohromady představují nebezpečnou kombinaci: jedna prolomí zeď chránící vaše data v klidu, zatímco druhá umožní hlubší kompromitaci systému, jakmile se útočník dostane dovnitř.

V době psaní tohoto článku Microsoft nevydal záplaty pro žádnou z těchto zranitelností. Kód proof-of-concept je veřejně dostupný, což výrazně snižuje bariéru pro zneužití méně sofistikovanými aktéry hrozeb.

Kdo je ohrožen a jaká data jsou vystavena riziku

Kdokoli provozující systém Windows 11 nebo Windows Server 2022 a 2025 s povoleným BitLockerem je potenciálně ohrožen zranitelností YellowKey. Požadavek fyzického přístupu sice omezuje útočnou plochu ve srovnání s plně vzdáleným exploitem, ale tato podmínka by neměla poskytnout příliš velkou útěchu. Realistickými scénáři hrozeb jsou laptopy používané zaměstnanci v hybridním pracovním prostředí, zařízení uložená ve sdílených kancelářských prostorách a stroje zabavené nebo kontrolované na hraničních přechodech.

U GreenPlasma je profil rizika v některých ohledech širší. Zranitelnosti lokální eskalace oprávnění jsou často řetězeny s jinými technikami útoku. Phishingový e-mail, který doručí počáteční payload s nízkými oprávněními, může být například následován exploitem GreenPlasma pro získání plné kontroly nad systémem. V hledáčku jsou firemní prostředí, vládní agentury a jednotlivci, kteří pracují s citlivými soubory.

Vystavená data zahrnují osobní dokumenty a finanční záznamy až po firemní duševní vlastnictví a přihlašovací údaje uložené na disku. Organizace provozující v rámci regulačních rámců jako HIPAA, GDPR nebo CMMC budou muset posoudit, zda tyto zranitelnosti ovlivňují jejich regulační povinnosti.

Proč uživatelé BitLockeru nemohou spoléhat pouze na šifrování disku

Odhalení YellowKey ilustruje základní omezení, které si uživatelé dbající na soukromí často neuvědomují: šifrování chrání data pouze do té doby, dokud samotný šifrovací mechanismus zůstává nekompromitovaný. BitLocker byl navržen k ochraně před offline útoky, především scénáři, kde je disk vyjmut a čten na jiném stroji. Nebyl navržen jako neprostupná pevnost proti sofistikovanému útočníkovi vyzbrojenému zero-day exploitem cílícím na samotný proces, který spravuje odemykání disku.

To je základní argument pro hloubkovou obranu. Spoléhání na jediný bezpečnostní prvek, bez ohledu na to, jak je důvěryhodný, vytváří jediný bod selhání. Když je tento prvek obejit, nezůstane mezi útočníkem a vašimi daty nic. Stejná logika platí pro síťové hrozby: šifrování přenosu dat prostřednictvím VPN vás neochrání, pokud je váš koncový bod již kompromitován, a zabezpečení koncového bodu nechrání data proudící nešifrovaně přes nedůvěryhodnou síť.

Vznik těchto dvou zranitelností slouží také jako připomínka, že aktéři hrozeb nemusí vždy potřebovat sofistikovanou infrastrukturu, aby způsobili vážné škody. Jak bylo zdokumentováno v kampaních, jako jsou falešné vládní weby cílící na občany po celém světě, sociální inženýrství a běžné nástroje jsou často kombinovány s veřejně dostupnými exploity s ničivým účinkem. Veřejný PoC pro obejití BitLockeru výrazně snižuje potřebné dovednosti.

Kroky hloubkové obrany: záplatování, VPN a vrstvené zabezpečení

Dokud Microsoft nevydá oficiální záplaty, měli by uživatelé a správci podniknout následující kroky.

Sledujte bezpečnostní aktualizace Microsoftu. Ponechte Windows Update povolené a zkontrolujte mimořádné záplaty, zejména vzhledem k veřejné dostupnosti kódu PoC. Jakmile záplaty dorazí, upřednostněte jejich nasazení.

Povolte BitLocker s PIN kódem. Výchozí konfigurace BitLockeru pouze s TPM je vůči této třídě útoků více zranitelná. Konfigurace BitLockeru tak, aby vyžadoval PIN kód před spuštěním, přidává vrstvu tření, která zvyšuje laťku pro fyzické útočníky.

Omezte fyzický přístup. U vysoce hodnotných strojů záleží na fyzických bezpečnostních opatřeních. Uzamčené serverovny, lankové zámky pro laptopy a jasné zásady ohledně ponechaných zařízení bez dozoru snižují útočnou plochu pro YellowKey.

Vrstvěte své bezpečnostní prvky. Šifrování disku je jedna vrstva, nikoli kompletní strategie. Kombinujte ji s nástroji pro detekci a reakci na koncových bodech, šifrováním na úrovni sítě pro data při přenosu, silnou autentizací a síťovou segmentací. VPN zajišťuje, že i v případě, kdy útočník přejde z kompromitovaného koncového bodu, odchozí data nejsou vystavena v nezašifrované podobě v síti.

Auditujte privilegované účty. Vzhledem k riziku eskalace oprávnění GreenPlasma zkontrolujte, které účty mají práva lokálního správce na koncových bodech. Omezení zbytečných oprávnění snižuje dopad, pokud je exploit použit.

Co to znamená pro vás

Odhalení YellowKey a GreenPlasma jsou konkrétní připomínkou, že žádný jednotlivý bezpečnostní nástroj neposkytuje úplnou ochranu. Pokud celá vaše strategie zabezpečení dat spočívá na BitLockeru, je nyní čas auditovat širší zásobník. Zvažte, co se stane, pokud je BitLocker obejit: existuje další vrstva chránící vaše nejcitlivější soubory? Je váš síťový provoz šifrován nezávisle na vašem disku? Jsou vaše přihlašovací údaje a obnovovací klíče bezpečně uloženy?

Proaktivní kroky jsou důležitější před incidentem než po něm. Zkontrolujte své současné bezpečnostní prvky, aplikujte dostupná zmírnění a berte tato odhalení jako příležitost k posílení vrstev, které BitLocker sám o sobě nemůže pokrýt.