Datasikkerhet

YellowKey og GreenPlasma: To Windows Zero-Days angriper BitLocker

16. mai 20265 min lesing

By Lina Petrov — 8 years reviewing consumer technology

YellowKey og GreenPlasma: To Windows Zero-Days angriper BitLocker

Sikkerhetsforskere har offentliggjort to upatchede Windows zero-day-sårbarheter, kalt YellowKey og GreenPlasma, som henholdsvis retter seg mot BitLocker-kryptering og CTFMON-inndatarammeverket. Proof-of-concept-kode for utnyttelse er allerede sluppet, noe som betyr at Windows BitLocker zero-day-sårbarheten ikke bare er teoretisk. For de millioner av brukere og organisasjoner som er avhengige av BitLocker som en hjørnestein i sin strategi for databeskyttelse, er denne avsløringen et alvorlig varsku.

Hva YellowKey og GreenPlasma faktisk gjør

YellowKey er den mest umiddelbart alarmerende av de to. Den retter seg mot BitLocker, funksjonen for full diskkryptering som er innebygd i Windows 10 og 11, samt Windows Server 2022 og 2025. Ved å utnytte en svakhet i Windows Recovery Environment gjør sårbarheten det mulig for en angriper med fysisk tilgang til en maskin å omgå standard BitLocker-beskyttelse og få tilgang til innholdet på en kryptert disk. I praksis betyr dette at en stjålet bærbar PC, som tidligere ble ansett som sikret bak BitLocker-kryptering, kan få sine data lest uten korrekt PIN eller passord.

GreenPlasma retter seg mot CTFMON, en Windows-bakgrunnsprosess som administrerer tekstinndata, håndskriftsgjenkjenning og språkinnstillinger. Denne sårbarheten muliggjør lokal rettighetseskalering, noe som betyr at en angriper som allerede har fått fotfeste på et system kan heve sine tillatelser til et høyere nivå og potensielt oppnå administrator- eller SYSTEM-tilgang. De to sårbarhetene utgjør til sammen en farlig kombinasjon: den ene bryter ned muren som beskytter dataene dine i hvile, mens den andre muliggjør dypere systemkompromittering når en angriper først er inne.

På tidspunktet for skriving har Microsoft ikke utgitt patcher for noen av sårbarhetene. Proof-of-concept-kode er offentlig tilgjengelig, noe som senker terskelen for utnyttelse betraktelig for mindre sofistikerte trusselaktører.

Hvem er i faresonen og hvilke data kan bli eksponert

Alle som kjører et Windows 11-system eller Windows Server 2022 og 2025 med BitLocker aktivert er potensielt berørt av YellowKey. Kravet om fysisk tilgang begrenser angrepsflaten sammenlignet med en fullstendig ekstern utnyttelse, men denne begrensningen bør ikke gi særlig stor trygghet. Bærbare PCer brukt av ansatte i hybride arbeidsmiljøer, enheter lagret i delte kontorarealer og maskiner som beslaglegges eller inspiseres ved grensekontroller er alle realistiske trusselsscenarier.

For GreenPlasma er risikoprofilen på noen måter bredere. Sårbarheter for lokal rettighetseskalering kobles ofte sammen med andre angrepsteknikker. En phishing-e-post som leverer en innledende nyttelast med lave privilegier kan for eksempel følges av en GreenPlasma-utnyttelse for å oppnå full systemkontroll. Bedriftsmiljøer, offentlige etater og enkeltpersoner som håndterer sensitive filer er alle i skuddlinjen.

Dataene som kan bli eksponert spenner fra personlige dokumenter og finansielle poster til bedriftens immaterielle rettigheter og legitimasjon lagret på disk. Organisasjoner som opererer under samsvarrammeverk som HIPAA, GDPR eller CMMC må vurdere om disse sårbarhetene påvirker deres regulatoriske forpliktelser.

Hvorfor BitLocker-brukere ikke kan stole på diskkryptering alene

YellowKey-avsløringen illustrerer en grunnleggende begrensning som personvernbevisste brukere ofte overser: kryptering beskytter data bare så lenge selve krypteringsmekanismen forblir ukompromittert. BitLocker ble designet for å beskytte mot offline-angrep, primært scenarioer der en disk fjernes og leses på en annen maskin. Det ble ikke designet for å være en ugjennomtrengelig festning mot en sofistikert angriper bevæpnet med en zero-day-utnyttelse rettet mot selve prosessen som administrerer opplåsing av disken.

Dette er kjerneargumentet for forsvar i dybden. Å stole på en enkelt sikkerhetskontroll, uansett hvor pålitelig, skaper ett enkelt feilpunkt. Når den kontrollen omgås, er det ingenting igjen som står mellom en angriper og dataene dine. Den samme logikken gjelder for trusler på nettverksnivå: å kryptere trafikk i transitt gjennom et VPN beskytter deg ikke dersom endepunktet ditt allerede er kompromittert, og å sikre endepunktet ditt beskytter ikke data som flyter ukryptert over et upålitelig nettverk.

Fremveksten av disse to sårbarhetene minner oss også på at trusselaktører ikke alltid trenger sofistikert infrastruktur for å forårsake alvorlig skade. Som dokumentert i kampanjer som falske nettsteder for offentlige etater som retter seg mot innbyggere over hele verden, kombineres sosial manipulering og standardverktøy ofte med offentlig tilgjengelige utnyttelser til ødeleggende effekt. En offentlig PoC for en BitLocker-omgåelse senker kompetansekravet betraktelig.

Forsvar i dybden: Patching, VPN-er og lagdelt sikkerhet

Inntil Microsoft utgir offisielle patcher bør brukere og administratorer ta følgende steg.

Overvåk for Microsoft-sikkerhetsoppdateringer. Hold Windows Update aktivert og sjekk for patcher utgitt utenom syklusen, særlig gitt den offentlige tilgjengeligheten av PoC-kode. Når patcher kommer, prioriter utrulling.

Aktiver BitLocker med en PIN. Standardkonfigurasjonen av BitLocker med kun TPM er mer utsatt for denne typen angrep. Å konfigurere BitLocker til å kreve en pre-boot PIN legger til et lag med friksjon som hever terskelen for fysiske angripere.

Begrens fysisk tilgang. For høyverdige maskiner spiller fysiske sikkerhetskontroller en rolle. Låste serverrom, kabellåser for bærbare PCer og tydelige retningslinjer om enheter som etterlates uten tilsyn reduserer alle angrepsflaten for YellowKey.

Lag sikkerhetskontrollene dine i lag. Diskkryptering er ett lag, ikke en fullstendig strategi. Kombiner det med verktøy for endepunktsdeteksjon og -respons, kryptering på nettverksnivå for data i transitt, sterk autentisering og nettverkssegmentering. Et VPN sikrer at selv om en angriper beveger seg fra et kompromittert endepunkt, eksponeres ikke utgående data i klartekst på nettverket.

Revider privilegerte kontoer. Gitt risikoen for rettighetseskalering fra GreenPlasma, gjennomgå hvilke kontoer som har lokale administratorrettigheter på endepunkter. Å redusere unødvendige privilegier begrenser skadeomfanget dersom en utnyttelse tas i bruk.

Hva dette betyr for deg

Avsløringene av YellowKey og GreenPlasma er en konkret påminnelse om at intet enkelt sikkerhetsverktøy gir fullstendig beskyttelse. Dersom hele din datasikkerhetsstrategi hviler på BitLocker, er det nå på tide å revidere den bredere sikkerhetsstakken. Tenk over hva som skjer dersom BitLocker omgås: er det et annet lag som beskytter de mest sensitive filene dine? Er nettverkstrafikken din kryptert uavhengig av disken? Er legitimasjonen og gjenopprettingsnøklene dine lagret på en sikker måte?

Proaktive tiltak betyr mer før en hendelse enn etter. Gjennomgå de nåværende sikkerhetskontrollene dine, anvend tilgjengelige tiltak, og bruk disse avsløringene som en mulighet til å styrke lagene som BitLocker alene ikke kan dekke.

// FAQ

Hva er YellowKey og hva retter den seg mot?

YellowKey er en upatchet Windows zero-day-sårbarhet som retter seg mot BitLocker, funksjonen for full diskkryptering som er innebygd i Windows 10, 11 og Windows Server 2022 og 2025. Den utnytter en svakhet i Windows Recovery Environment for å gjøre det mulig for en angriper med fysisk tilgang å omgå BitLocker-beskyttelse og lese innholdet på krypterte disker.

Hva gjør GreenPlasma-sårbarheten?

GreenPlasma retter seg mot CTFMON, en Windows-bakgrunnsprosess som administrerer tekstinndata, håndskriftsgjenkjenning og språkinnstillinger. Den muliggjør lokal rettighetseskalering, slik at en angriper som allerede har fått fotfeste på et system kan heve sine tillatelser til administrator- eller SYSTEM-tilgang.

Har Microsoft utgitt patcher for YellowKey og GreenPlasma?

Nei, på tidspunktet for artikkelens skriving har Microsoft ikke utgitt patcher for noen av sårbarhetene. Proof-of-concept-kode for utnyttelse er allerede offentlig tilgjengelig, noe som senker terskelen for utnyttelse for mindre sofistikerte trusselaktører.

Krever YellowKey fysisk tilgang for å utnyttes?

Ja, YellowKey krever at angriperen har fysisk tilgang til målmaskinen for å omgå BitLocker-beskyttelse. Realistiske trusselsscenarier inkluderer stjålne bærbare PCer, enheter i delte kontorarealer og maskiner som beslaglegges ved grensekontroller.

Hvordan kan GreenPlasma brukes i et virkelig angrep?

GreenPlasma kan kobles sammen med andre angrepsteknikker, for eksempel en phishing-e-post som leverer en innledende nyttelast med lave privilegier, etterfulgt av en GreenPlasma-utnyttelse for å oppnå full systemkontroll. Bedriftsmiljøer, offentlige etater og enkeltpersoner som håndterer sensitive filer anses alle for å være i faresonen.

YellowKey og GreenPlasma: To Windows Zero-Days angriper BitLocker

Hva YellowKey og GreenPlasma faktisk gjør

Hvem er i faresonen og hvilke data kan bli eksponert

Hvorfor BitLocker-brukere ikke kan stole på diskkryptering alene

Forsvar i dybden: Patching, VPN-er og lagdelt sikkerhet

Hva dette betyr for deg

// FAQ

// Relatert