Czym jest YellowKey i co atakuje?

YellowKey to niezałatana luka zero-day w Windows, która atakuje BitLocker — funkcję pełnego szyfrowania dysku wbudowaną w Windows 10, 11 oraz Windows Server 2022 i 2025. Wykorzystuje słabość w Środowisku Odzyskiwania systemu Windows, pozwalając atakującemu z fizycznym dostępem ominąć zabezpieczenia BitLockera i odczytać zawartość zaszyfrowanego dysku.

Co robi luka GreenPlasma?

GreenPlasma atakuje CTFMON — działający w tle proces Windows zarządzający wprowadzaniem tekstu, rozpoznawaniem pisma ręcznego i ustawieniami językowymi. Umożliwia lokalne eskalowanie uprawnień, pozwalając atakującemu, który już uzyskał przyczółek w systemie, podnieść swoje uprawnienia do poziomu administratora lub SYSTEM.

Czy Microsoft wydał łatki dla YellowKey i GreenPlasma?

Nie, w chwili pisania artykułu Microsoft nie wydał łatek dla żadnej z tych luk. Kod exploita proof-of-concept jest już publicznie dostępny, co obniża próg wykorzystania ich przez mniej zaawansowanych cyberprzestępców.

Czy YellowKey wymaga fizycznego dostępu, aby można go było wykorzystać?

Tak, YellowKey wymaga, aby atakujący miał fizyczny dostęp do docelowej maszyny w celu ominięcia zabezpieczeń BitLockera. Realistyczne scenariusze zagrożeń obejmują skradzione laptopy, urządzenia w współdzielonych przestrzeniach biurowych oraz maszyny zajęte na przejściach granicznych.

W jaki sposób GreenPlasma mógłby zostać wykorzystany w rzeczywistym ataku?

GreenPlasma może być łączony z innymi technikami ataku, na przykład phishingowy e-mail dostarczający wstępny ładunek o niskich uprawnieniach może być uzupełniony exploitem GreenPlasma w celu uzyskania pełnej kontroli nad systemem. Za zagrożone uważane są środowiska korporacyjne, agencje rządowe oraz osoby przechowujące wrażliwe pliki.

YellowKey i GreenPlasma: Dwie luki zero-day w Windows uderzają w BitLocker

Badacze bezpieczeństwa publicznie ujawnili dwie niezałatane luki zero-day w Windows, nazwane YellowKey i GreenPlasma, wymierzone odpowiednio w szyfrowanie BitLocker oraz platformę wejściową CTFMON. Kod exploita typu proof-of-concept został już upubliczniony, co oznacza, że luka zero-day w BitLockerze w Windows to nie tylko teoria. Dla milionów użytkowników i organizacji polegających na BitLockerze jako fundamencie swojej strategii ochrony danych, to ujawnienie jest poważnym sygnałem alarmowym.

Co tak naprawdę robią YellowKey i GreenPlasma

YellowKey jest bardziej niepokojący z bezpośredniego punktu widzenia. Atakuje BitLocker — funkcję pełnego szyfrowania dysku wbudowaną w Windows 10 i 11, a także Windows Server 2022 i 2025. Wykorzystując słabość w Środowisku Odzyskiwania systemu Windows, luka umożliwia atakującemu z fizycznym dostępem do urządzenia ominięcie domyślnych zabezpieczeń BitLockera i uzyskanie dostępu do zawartości zaszyfrowanego dysku. W praktyce oznacza to, że skradziony laptop, który wcześniej był uważany za bezpieczny dzięki szyfrowaniu BitLocker, może mieć swoje dane odczytane bez prawidłowego PIN-u lub hasła.

GreenPlasma atakuje CTFMON — działający w tle proces Windows zarządzający wprowadzaniem tekstu, rozpoznawaniem pisma ręcznego i ustawieniami językowymi. Ta luka umożliwia lokalne eskalowanie uprawnień, co oznacza, że atakujący, który już uzyskał przyczółek w systemie, może podnieść swoje uprawnienia na wyższy poziom, potencjalnie osiągając dostęp na poziomie administratora lub SYSTEM. Obie luki razem stanowią niebezpieczną kombinację: jedna przełamuje mur chroniący dane w spoczynku, druga umożliwia głębsze skompromitowanie systemu, gdy atakujący już się do niego dostanie.

W chwili pisania tego artykułu Microsoft nie wydał łatek dla żadnej z tych luk. Kod proof-of-concept jest publicznie dostępny, co znacznie obniża próg wykorzystania ich przez mniej zaawansowanych cyberprzestępców.

Kto jest zagrożony i jakie dane są narażone

Każdy, kto korzysta z systemu Windows 11 lub Windows Server 2022 i 2025 z włączonym BitLockerem, jest potencjalnie dotknięty przez YellowKey. Wymóg fizycznego dostępu ogranicza powierzchnię ataku w porównaniu z w pełni zdalnym exploitem, jednak ten warunek nie powinien dawać nadmiernego poczucia bezpieczeństwa. Laptopy używane przez pracowników w hybrydowych środowiskach pracy, urządzenia przechowywane we współdzielonych przestrzeniach biurowych oraz maszyny zajęte lub kontrolowane na przejściach granicznych — wszystkie te przypadki to realistyczne scenariusze zagrożeń.

W przypadku GreenPlasma profil ryzyka jest pod pewnymi względami szerszy. Luki umożliwiające lokalne eskalowanie uprawnień są często łączone z innymi technikami ataku. Phishingowy e-mail dostarczający wstępny ładunek o niskich uprawnieniach może być na przykład uzupełniony exploitem GreenPlasma w celu uzyskania pełnej kontroli nad systemem. Środowiska korporacyjne, agencje rządowe i osoby przechowujące wrażliwe pliki — wszystkie są na celowniku.

Narażone dane obejmują zarówno dokumenty osobiste i dokumentację finansową, jak i korporacyjną własność intelektualną oraz dane uwierzytelniające przechowywane na dysku. Organizacje działające w ramach przepisów compliance, takich jak HIPAA, RODO czy CMMC, będą musiały ocenić, czy te luki wpływają na ich obowiązki regulacyjne.

Dlaczego użytkownicy BitLockera nie mogą polegać wyłącznie na szyfrowaniu dysku

Ujawnienie luki YellowKey ilustruje fundamentalne ograniczenie, które użytkownicy dbający o prywatność często pomijają: szyfrowanie chroni dane tylko tak długo, jak sam mechanizm szyfrowania pozostaje niezagrożony. BitLocker został zaprojektowany do ochrony przed atakami offline — przede wszystkim w scenariuszach, gdy dysk jest wyjmowany i odczytywany na innym urządzeniu. Nie został zaprojektowany jako nieprzenikniona twierdza przed wyrafinowanym atakującym dysponującym exploitem zero-day wymierzonym właśnie w proces zarządzający odblokowywaniem dysku.

To jest podstawowy argument za obroną wielowarstwową. Poleganie na jednym mechanizmie bezpieczeństwa, bez względu na to, jak jest zaufany, tworzy pojedynczy punkt awarii. Gdy ten mechanizm zostaje ominięty, między atakującym a Twoimi danymi nie pozostaje już nic. Ta sama logika dotyczy zagrożeń na poziomie sieci: szyfrowanie ruchu podczas transmisji przez VPN nie chroni Cię, jeśli Twój punkt końcowy został już skompromitowany, a zabezpieczenie punktu końcowego nie chroni danych przesyłanych niezaszyfrowanych przez niezaufaną sieć.

Pojawienie się tych dwóch luk przypomina również, że cyberprzestępcy nie zawsze potrzebują zaawansowanej infrastruktury, aby wyrządzić poważne szkody. Jak udokumentowano w kampaniach takich jak fałszywe strony rządowe atakujące obywateli na całym świecie, inżynieria społeczna i powszechnie dostępne narzędzia są często łączone z publicznie dostępnymi exploitami z druzgocącym skutkiem. Publiczny PoC dla obejścia BitLockera znacznie obniża wymagany poziom umiejętności.

Kroki w ramach obrony wielowarstwowej: łatanie, VPN-y i zabezpieczenia warstwowe

Do czasu wydania oficjalnych łatek przez Microsoft użytkownicy i administratorzy powinni podjąć następujące kroki.

Monitoruj aktualizacje zabezpieczeń Microsoft. Utrzymuj włączoną usługę Windows Update i sprawdzaj dostępność poprawek wydawanych poza regularnym harmonogramem, zwłaszcza biorąc pod uwagę publiczną dostępność kodu PoC. Gdy łatki się pojawią, nadaj ich wdrożeniu priorytet.

Włącz BitLocker z PIN-em. Domyślna konfiguracja BitLockera oparta wyłącznie na TPM jest bardziej podatna na ten rodzaj ataku. Skonfigurowanie BitLockera tak, aby wymagał PIN-u przed uruchomieniem systemu, dodaje warstwę utrudnienia, która podnosi poprzeczkę dla fizycznych atakujących.

Ogranicz fizyczny dostęp. W przypadku maszyn o wysokiej wartości fizyczne środki kontroli bezpieczeństwa mają znaczenie. Zamknięte serwerownie, blokady kablowe dla laptopów i jasne zasady dotyczące urządzeń pozostawionych bez nadzoru — wszystko to zmniejsza powierzchnię ataku dla YellowKey.

Stosuj warstwowe kontrole bezpieczeństwa. Szyfrowanie dysku to jedna warstwa, a nie kompletna strategia. Łącz je z narzędziami do wykrywania i reagowania na zagrożenia w punktach końcowych, szyfrowaniem na poziomie sieci dla danych w tranzycie, silnym uwierzytelnianiem i segmentacją sieci. VPN zapewnia, że nawet jeśli atakujący przemieści się z zagrożonego punktu końcowego, dane wychodzące nie są wystawione w postaci niezaszyfrowanej w sieci.

Przeprowadź audyt kont uprzywilejowanych. Biorąc pod uwagę ryzyko eskalacji uprawnień związane z GreenPlasma, sprawdź, które konta mają prawa lokalnego administratora na punktach końcowych. Ograniczenie zbędnych uprawnień zmniejsza zasięg szkód w przypadku wykorzystania exploita.

Co to oznacza dla Ciebie

Ujawnienia luk YellowKey i GreenPlasma są konkretnym przypomnieniem, że żadne pojedyncze narzędzie bezpieczeństwa nie zapewnia pełnej ochrony. Jeśli cała Twoja strategia bezpieczeństwa danych opiera się na BitLockerze, teraz jest właściwy moment, aby przeprowadzić audyt szerszego zestawu zabezpieczeń. Zastanów się, co się stanie, jeśli BitLocker zostanie ominięty: czy istnieje jeszcze jedna warstwa chroniąca Twoje najbardziej wrażliwe pliki? Czy Twój ruch sieciowy jest szyfrowany niezależnie od dysku? Czy Twoje dane uwierzytelniające i klucze odzyskiwania są przechowywane bezpiecznie?

Proaktywne kroki mają większe znaczenie przed incydentem niż po nim. Przejrzyj swoje obecne mechanizmy kontroli bezpieczeństwa, zastosuj dostępne środki zaradcze i potraktuj te ujawnienia jako okazję do wzmocnienia warstw, których sam BitLocker nie jest w stanie pokryć.