Hvad er YellowKey, og hvad retter den sig mod?

YellowKey er en upatchet Windows zero-day-sårbarhed, der retter sig mod BitLocker, funktionen til fuld diskkryptering, der er indbygget i Windows 10, 11 og Windows Server 2022 og 2025. Den udnytter en svaghed i Windows Recovery Environment for at give en angriber med fysisk adgang mulighed for at omgå BitLockers beskyttelse og læse indholdet af krypterede drev.

Hvad gør GreenPlasma-sårbarheden?

GreenPlasma retter sig mod CTFMON, en Windows-baggrundsproces, der håndterer tekstinput, håndskriftsgenkendelse og sprogindstillinger. Den muliggør lokal rettighedseskalering, hvilket giver en angriber, der allerede har fået fodfæste på et system, mulighed for at hæve sine rettigheder til administrator- eller SYSTEM-niveau adgang.

Har Microsoft udgivet patches til YellowKey og GreenPlasma?

Nej, på tidspunktet for artikelens skrivning har Microsoft ikke udgivet patches til nogen af sårbarhederne. Proof-of-concept-exploit-kode er allerede offentligt tilgængelig, hvilket sænker tærsklen for udnyttelse for mindre sofistikerede trusselsaktører.

Kræver YellowKey fysisk adgang for at blive udnyttet?

Ja, YellowKey kræver, at en angriber har fysisk adgang til målmaskinen for at kunne omgå BitLockers beskyttelse. Realistiske trusselscenarier omfatter stjålne bærbare computere, enheder i delte kontorrum og maskiner beslaglagt ved grænseovergange.

Hvordan kan GreenPlasma bruges i et virkeligt angreb?

GreenPlasma kan kædes sammen med andre angrebsteknikker, såsom en phishing-e-mail, der leverer en indledende payload med lave rettigheder, efterfulgt af et GreenPlasma-exploit for at opnå fuld systemkontrol. Virksomhedsmiljøer, offentlige myndigheder og enkeltpersoner, der håndterer følsomme filer, anses alle for at være i risiko.

YellowKey og GreenPlasma: To Windows Zero-Days Rammer BitLocker

Sikkerhedsforskere har offentligt afsløret to upatchede Windows zero-day-sårbarheder, navngivet YellowKey og GreenPlasma, der henholdsvis retter sig mod BitLocker-kryptering og CTFMON-inputframeworket. Proof-of-concept-exploit-kode er allerede blevet offentliggjort, hvilket betyder, at Windows BitLocker zero-day-sårbarheden ikke blot er teoretisk. For de millioner af brugere og organisationer, der er afhængige af BitLocker som en hjørnesten i deres databeskyttelsesstrategi, er denne afsløring et alvorligt wake-up call.

Hvad YellowKey og GreenPlasma Faktisk Gør

YellowKey er den mest umiddelbart alarmerende af de to. Den retter sig mod BitLocker, funktionen til fuld diskkryptering, der er indbygget i Windows 10 og 11 samt Windows Server 2022 og 2025. Ved at udnytte en svaghed i Windows Recovery Environment giver sårbarheden en angriber med fysisk adgang til en maskine mulighed for at omgå BitLockers standardbeskyttelse og få adgang til indholdet af et krypteret drev. I praksis betyder det, at en stjålet bærbar computer, der tidligere blev anset for sikker bag BitLocker-kryptering, kan få sine data læst uden den korrekte PIN-kode eller adgangskode.

GreenPlasma retter sig mod CTFMON, en Windows-baggrundsproces, der håndterer tekstinput, håndskriftsgenkendelse og sprogindstillinger. Denne sårbarhed muliggør lokal rettighedseskalering, hvilket betyder, at en angriber, der allerede har fået fodfæste på et system, kan hæve sine rettigheder til et højere niveau og potentielt opnå administrator- eller SYSTEM-niveau adgang. Tilsammen udgør de to sårbarheder en farlig kombination: den ene bryder muren, der beskytter dine data i hvile, mens den anden muliggør en dybere systemkompromittering, når en angriber først er kommet indenfor.

På tidspunktet for denne artikel har Microsoft ikke udgivet patches til nogen af sårbarhederne. Proof-of-concept-kode er offentligt tilgængelig, hvilket sænker tærsklen for udnyttelse betydeligt for mindre sofistikerede trusselsaktører.

Hvem Er i Risiko, og Hvilke Data Er Eksponeret

Alle, der kører et Windows 11-system eller Windows Server 2022 og 2025 med BitLocker aktiveret, er potentielt berørt af YellowKey. Kravet om fysisk adgang begrænser angrebsfladen sammenlignet med et fuldt fjernstyret exploit, men denne begrænsning bør ikke give megen tryghed. Bærbare computere brugt af medarbejdere i hybride arbejdsmiljøer, enheder opbevaret i delte kontorrum og maskiner beslaglagt eller undersøgt ved grænseovergange er alle realistiske trusselscenarier.

For GreenPlasma er risikoprofilen bredere på visse måder. Sårbarheder til lokal rettighedseskalering kædes hyppigt sammen med andre angrebsteknikker. En phishing-e-mail, der leverer en indledende payload med lave rettigheder, kan for eksempel efterfølges af et GreenPlasma-exploit for at opnå fuld systemkontrol. Virksomhedsmiljøer, offentlige myndigheder og enkeltpersoner, der håndterer følsomme filer, befinder sig alle i skudlinjen.

De eksponerede data spænder fra personlige dokumenter og finansielle oplysninger til virksomheders intellektuelle ejendom og legitimationsoplysninger gemt på disken. Organisationer, der opererer under compliance-rammer som HIPAA, GDPR eller CMMC, skal vurdere, om disse sårbarheder påvirker deres regulatoriske forpligtelser.

Hvorfor BitLocker-Brugere Ikke Kan Stole Udelukkende på Diskkryptering

YellowKey-afsløringen illustrerer en grundlæggende begrænsning, som privatlivsbevidste brugere ofte overser: kryptering beskytter kun data, så længe krypteringsmekanismen selv forbliver ukompromitteret. BitLocker blev designet til at beskytte mod offlineangreb, primært scenarier, hvor et drev fjernes og læses på en anden maskine. Det blev ikke designet til at være en uigennemtrængelig fæstning mod en sofistikeret angriber, der er bevæbnet med et zero-day-exploit rettet mod selve den proces, der håndterer drevoplåsning.

Dette er kerneargumentet for dybdegående forsvar. At stole på en enkelt sikkerhedskontrol, uanset hvor pålidelig den er, skaber et enkelt fejlpunkt. Når denne kontrol omgås, er der intet tilbage mellem en angriber og dine data. Den samme logik gælder for trusler på netværksniveau: kryptering af trafik under transport via en VPN beskytter dig ikke, hvis dit endpoint allerede er kompromitteret, og sikring af dit endpoint beskytter ikke data, der flyder ukrypteret over et upålideligt netværk.

Fremkomsten af disse to sårbarheder minder os også om, at trusselsaktører ikke altid behøver sofistikeret infrastruktur for at forårsage alvorlig skade. Som dokumenteret i kampagner som falske regeringswebsteder, der retter sig mod borgere verden over, kombineres social engineering og standardværktøjer hyppigt med offentligt tilgængelige exploits med ødelæggende effekt. En offentlig PoC til en BitLocker-omgåelse sænker kompetencekravet betydeligt.

Dybdegående Forsvarstrin: Patching, VPN'er og Lagdelt Sikkerhed

Indtil Microsoft udgiver officielle patches, bør brugere og administratorer tage følgende skridt.

Overvåg for Microsoft-sikkerhedsopdateringer. Hold Windows Update aktiveret, og tjek for out-of-band-patches, især i betragtning af den offentlige tilgængelighed af PoC-kode. Når patches ankommer, skal du prioritere udrulningen.

Aktivér BitLocker med en PIN-kode. Standardkonfigurationen af BitLocker med kun TPM er mere modtagelig over for denne klasse af angreb. Konfiguration af BitLocker til at kræve en pre-boot PIN-kode tilføjer et lag af friktion, der hæver barren for fysiske angribere.

Begræns fysisk adgang. For maskiner med høj værdi er fysiske sikkerhedskontroller vigtige. Låste serverrum, kabellåse til bærbare computere og klare politikker for uovervågede enheder reducerer alle angrebsfladen for YellowKey.

Lag dine sikkerhedskontroller. Diskkryptering er ét lag, ikke en komplet strategi. Kombiner det med endpoint-detektion og -responsværktøjer, kryptering på netværksniveau for data under transport, stærk autentifikation og netværkssegmentering. En VPN sikrer, at selv hvis en angriber drejer fra et kompromitteret endpoint, eksponeres udgående data ikke i klartekst på netværket.

Auditér privilegerede konti. I betragtning af risikoen for rettighedseskalering med GreenPlasma bør du gennemgå, hvilke konti der har lokale administratorrettigheder på endpoints. Reduktion af unødvendige rettigheder begrænser skadesomfanget, hvis et exploit anvendes.

Hvad Dette Betyder for Dig

Afsløringerne af YellowKey og GreenPlasma er en konkret påmindelse om, at intet enkelt sikkerhedsværktøj giver fuldstændig beskyttelse. Hvis din samlede datasikkerhedsstrategi hviler på BitLocker alene, er det nu tid til at auditere den bredere sikkerhedsstak. Overvej, hvad der sker, hvis BitLocker omgås: er der et andet lag, der beskytter dine mest følsomme filer? Er din netværkstrafik krypteret uafhængigt af din disk? Er dine legitimationsoplysninger og gendannelsesnøgler opbevaret sikkert?

Proaktive skridt betyder mere, før en hændelse end efter. Gennemgå dine nuværende sikkerhedskontroller, anvend tilgængelige afhjælpningsforanstaltninger, og betragt disse afsløringer som en mulighed for at styrke de lag, som BitLocker alene ikke kan dække.