Što je YellowKey i što cilja?

YellowKey je nezakrpana Windows zero-day ranjivost koja cilja BitLocker, značajku pune enkripcije diska ugrađenu u Windows 10, 11 i Windows Server 2022 i 2025. Iskorištava slabost u Windows Recovery Environmentu kako bi napadaču s fizičkim pristupom omogućila zaobilaženje BitLocker zaštita i čitanje sadržaja enkriptiranog diska.

Što radi ranjivost GreenPlasma?

GreenPlasma cilja CTFMON, Windows pozadinski proces koji upravlja unosom teksta, prepoznavanjem rukopisa i jezičnim postavkama. Omogućuje lokalnu eskalaciju privilegija, dopuštajući napadaču koji već ima uporište na sustavu da podigne svoja dopuštenja na razinu administratora ili SYSTEM pristupa.

Je li Microsoft objavio zakrpe za YellowKey i GreenPlasma?

Ne, u trenutku pisanja članka Microsoft nije izdao zakrpe ni za jednu od ranjivosti. Proof-of-concept exploit kod već je javno dostupan, što snižava barijeru za iskorištavanje od strane manje sofisticiranih prijetnji.

Zahtijeva li YellowKey fizički pristup za iskorištavanje?

Da, YellowKey zahtijeva da napadač ima fizički pristup ciljanom računalu kako bi zaobišao BitLocker zaštite. Realni scenariji prijetnji uključuju ukradene prijenosnike, uređaje u zajedničkim uredskim prostorima i računala zaplijenjena na graničnim prijelazima.

Kako bi se GreenPlasma mogla koristiti u stvarnom napadu?

GreenPlasma se može ulančati s drugim tehnikama napada, kao što je phishing e-pošta koja isporučuje inicijalnu korisnu podatkovnu datoteku s niskim privilegijama, nakon čega slijedi GreenPlasma exploit radi stjecanja potpune kontrole nad sustavom. Korporativna okruženja, vladine agencije i pojedinci koji rukuju osjetljivim datotekama smatraju se ugroženima.

YellowKey i GreenPlasma: Dvije Windows Zero-Day Ranjivosti Pogađaju BitLocker

Istraživači sigurnosti javno su otkrili dvije nezakrpane Windows zero-day ranjivosti, nazvane YellowKey i GreenPlasma, koje ciljaju BitLocker enkripciju odnosno CTFMON okvir za unos teksta. Već je objavljen proof-of-concept exploit kod, što znači da Windows BitLocker zero-day ranjivost nije samo teorijska. Za milijune korisnika i organizacija koje se oslanjaju na BitLocker kao temelj strategije zaštite podataka, ovo otkrivanje predstavlja ozbiljan poziv na uzbunu.

Što YellowKey i GreenPlasma Zapravo Rade

YellowKey je alarmantniji od njih dvoje. Cilja BitLocker, značajku pune enkripcije diska ugrađenu u Windows 10 i 11, kao i Windows Server 2022 i 2025. Iskorištavanjem slabosti u Windows Recovery Environmentu, ranjivost napadaču s fizičkim pristupom računalu omogućuje zaobilaženje zadanih BitLocker zaštita i pristup sadržaju enkriptiranog diska. Praktično govoreći, ukradeni prijenosnik koji se prethodno smatrao sigurnim zahvaljujući BitLocker enkripciji mogao bi imati čitljive podatke bez ispravnog PIN-a ili lozinke.

GreenPlasma cilja CTFMON, Windows pozadinski proces koji upravlja unosom teksta, prepoznavanjem rukopisa i jezičnim postavkama. Ova ranjivost omogućuje lokalnu eskalaciju privilegija, što znači da napadač koji je već stekao uporište na sustavu može podići svoja dopuštenja na višu razinu, potencijalno postižući pristup razine administratora ili SYSTEM-a. Dvije ranjivosti zajedno predstavljaju opasnu kombinaciju: jedna ruši zid koji štiti vaše podatke u mirovanju, dok druga omogućuje dublji kompromis sustava kada napadač jednom uđe unutra.

U trenutku pisanja ovog teksta, Microsoft nije izdao zakrpe ni za jednu ranjivost. Proof-of-concept kod je javno dostupan, što značajno snižava barijeru za iskorištavanje od strane manje sofisticiranih prijetnji.

Tko Je u Opasnosti i Koji Su Podaci Izloženi

Svakoga tko koristi Windows 11 ili Windows Server 2022 i 2025 s omogućenim BitLockerom potencijalno pogađa YellowKey. Uvjet fizičkog pristupa ograničava površinu napada u usporedbi s potpuno udaljenim exploitom, no ta napomena ne bi trebala pružiti mnogo utjehe. Prijenosnici koje zaposlenici koriste u hibridnim radnim okruženjima, uređaji pohranjeni u zajedničkim uredskim prostorima i strojevi zaplijenjeni ili pregledani na graničnim prijelazima — svi su to realni scenariji prijetnji.

Za GreenPlasma, profil rizika je u nekim pogledima širi. Ranjivosti lokalne eskalacije privilegija često se ulančavaju s drugim tehnikama napada. Phishing e-pošta koja isporučuje inicijalnu korisnu podatkovnu datoteku s niskim privilegijama, na primjer, mogla bi biti praćena GreenPlasma exploitom radi stjecanja potpune kontrole nad sustavom. Korporativna okruženja, vladine agencije i pojedinci koji rukuju osjetljivim datotekama — svi su na meti.

Izloženi podaci kreću se od osobnih dokumenata i financijskih zapisa do korporativnog intelektualnog vlasništva i vjerodajnica pohranjenih na disku. Organizacije koje djeluju u okviru regulatornih standarda poput HIPAA, GDPR-a ili CMMC-a morat će procijeniti utječu li ove ranjivosti na njihove regulatorne obveze.

Zašto Se Korisnici BitLockera Ne Mogu Osloniti Samo na Enkripciju Diska

Otkrivanje YellowKeya ilustrira temeljno ograničenje koje korisnici svjesni privatnosti često previđaju: enkripcija štiti podatke samo sve dok sam mehanizam enkripcije ostaje nekompromitiran. BitLocker je osmišljen za zaštitu od offline napada, primarno scenarija u kojima se disk uklanja i čita na drugom računalu. Nije osmišljen kao neprobojana tvrđava protiv sofisticiranog napadača naoružanog zero-day exploitom koji cilja sam proces koji upravlja otključavanjem diska.

To je temeljni argument za dubinsku obranu. Oslanjanje na jednu sigurnosnu kontrolu, bez obzira koliko je pouzdana, stvara jedinstvenu točku kvara. Kada se ta kontrola zaobiđe, između napadača i vaših podataka ne ostaje ništa. Ista logika primjenjuje se na prijetnje mrežnog sloja: enkripcija prometa u prijenosu putem VPN-a ne štiti vas ako je vaš endpoint već kompromitiran, a osiguravanje endpointa ne štiti podatke koji teku nekriptirani po nepouzdanoj mreži.

Pojava ovih dviju ranjivosti također podsjeća da prijetnje ne trebaju uvijek sofisticiranu infrastrukturu kako bi uzrokovale ozbiljnu štetu. Kao što je dokumentirano u kampanjama poput lažnih vladinih stranica koje ciljaju građane diljem svijeta, socijalni inženjering i uobičajeni alati često se kombiniraju s javno dostupnim exploitima s razornim učinkom. Javni PoC za zaobilaženje BitLockera značajno snižava potrebnu razinu vještine.

Koraci Dubinske Obrane: Zakrpe, VPN-ovi i Slojevita Sigurnost

Dok Microsoft ne objavi službene zakrpe, korisnici i administratori trebali bi poduzeti sljedeće korake.

Pratite Microsoftova sigurnosna ažuriranja. Držite Windows Update omogućenim i provjeravajte van-ciklična ažuriranja, posebno s obzirom na javnu dostupnost PoC koda. Kada zakrpe stignu, prioritizirajte njihovu primjenu.

Omogućite BitLocker s PIN-om. Zadana BitLocker konfiguracija samo s TPM-om podložnija je ovoj klasi napada. Konfiguriranje BitLockera da zahtijeva pre-boot PIN dodaje sloj otpora koji podiže ljestvicu za fizičke napadače.

Ograničite fizički pristup. Za visoko vrijedna računala, fizičke sigurnosne kontrole su važne. Zaključane serverske sobe, sigurnosne brave za prijenosnike i jasne politike o nenadgledanim uređajima smanjuju površinu napada za YellowKey.

Slojajte sigurnosne kontrole. Enkripcija diska je jedan sloj, a ne potpuna strategija. Kombinirajte je s alatima za detekciju i odgovor na endpointima, mrežnom enkripcijom za podatke u prijenosu, snažnom autentikacijom i mrežnom segmentacijom. VPN osigurava da čak i ako napadač pivotira s kompromitiranog endpointa, odlazni podaci nisu izloženi u čistom tekstu na mreži.

Revidirajte privilegirane račune. S obzirom na rizik eskalacije privilegija koji donosi GreenPlasma, pregledajte koji računi imaju prava lokalnog administratora na endpointima. Smanjivanje nepotrebnih privilegija ograničava opseg štete ako se exploit iskoristi.

Što Ovo Znači za Vas

Otkrivanja YellowKeya i GreenPlasme konkretan su podsjetnik da nijedan pojedinačni sigurnosni alat ne pruža potpunu zaštitu. Ako se cijela vaša strategija sigurnosti podataka oslanja na BitLocker, sada je pravo vrijeme za reviziju šireg skupa mjera. Razmislite što se događa ako se BitLocker zaobiđe: postoji li još jedan sloj koji štiti vaše najosjetljivije datoteke? Je li vaš mrežni promet enkriptiran neovisno o vašem disku? Jesu li vaše vjerodajnice i ključevi za oporavak sigurno pohranjeni?

Proaktivni koraci važniji su prije incidenta nego nakon njega. Pregledajte svoje trenutne sigurnosne kontrole, primijenite dostupne mjere ublažavanja i ova otkrivanja tretirajte kao priliku za jačanje slojeva koje BitLocker sam po sebi ne može pokriti.