YellowKey и GreenPlasma: два Windows zero-day удара по BitLocker

YellowKey и GreenPlasma: два Windows zero-day удара по BitLocker

Исследователи безопасности публично раскрыли две незакрытых уязвимости нулевого дня в Windows — YellowKey и GreenPlasma, — направленных против шифрования BitLocker и фреймворка ввода CTFMON соответственно. Код proof-of-concept эксплойта уже опубликован, а значит, уязвимость нулевого дня в Windows BitLocker — не просто теория. Для миллионов пользователей и организаций, которые опираются на BitLocker как на краеугольный камень своей стратегии защиты данных, это раскрытие является серьёзным тревожным сигналом.

Что на самом деле делают YellowKey и GreenPlasma

YellowKey — более тревожная из двух уязвимостей в краткосрочной перспективе. Она нацелена на BitLocker — функцию полного шифрования диска, встроенную в Windows 10 и 11, а также Windows Server 2022 и 2025. Эксплуатируя слабость в среде восстановления Windows, уязвимость позволяет злоумышленнику, имеющему физический доступ к машине, обойти стандартную защиту BitLocker и получить доступ к содержимому зашифрованного диска. На практике это означает, что украденный ноутбук, ранее считавшийся надёжно защищённым шифрованием BitLocker, может быть прочитан без правильного PIN-кода или пароля.

GreenPlasma нацелена на CTFMON — фоновый процесс Windows, управляющий текстовым вводом, распознаванием рукописного текста и языковыми настройками. Эта уязвимость обеспечивает локальное повышение привилегий: злоумышленник, уже закрепившийся в системе, может повысить свои права до уровня администратора или SYSTEM. Вместе эти две уязвимости образуют опасную комбинацию: одна разрушает стену, защищающую данные в состоянии покоя, тогда как другая позволяет глубже скомпрометировать систему, когда злоумышленник уже внутри.

На момент написания статьи Microsoft не выпустила патчи ни для одной из уязвимостей. Код proof-of-concept находится в открытом доступе, что значительно снижает порог эксплуатации для менее опытных злоумышленников.

Кто находится в зоне риска и какие данные могут быть раскрыты

Все пользователи Windows 11, а также Windows Server 2022 и 2025 с включённым BitLocker потенциально подвержены уязвимости YellowKey. Требование физического доступа действительно сужает поверхность атаки по сравнению с полностью удалённым эксплойтом, однако это обстоятельство не должно давать ложного чувства безопасности. Ноутбуки сотрудников в гибридных рабочих средах, устройства в общих офисных пространствах и машины, изъятые или проверяемые на пограничных переходах, — всё это реалистичные сценарии угроз.

Для GreenPlasma профиль риска шире в некотором отношении. Уязвимости локального повышения привилегий нередко используются в цепочках с другими техниками атаки. Например, фишинговое письмо, доставляющее полезную нагрузку с низкими привилегиями, может быть дополнено эксплойтом GreenPlasma для получения полного контроля над системой. В зоне риска находятся корпоративные среды, государственные структуры и частные лица, работающие с конфиденциальными файлами.

Раскрытые данные варьируются от личных документов и финансовых записей до корпоративной интеллектуальной собственности и учётных данных, хранящихся на диске. Организации, работающие в рамках таких нормативных требований, как HIPAA, GDPR или CMMC, должны оценить, влияют ли эти уязвимости на их регуляторные обязательства.

Почему пользователи BitLocker не могут полагаться только на шифрование диска

Раскрытие YellowKey наглядно демонстрирует фундаментальное ограничение, которое пользователи, заботящиеся о конфиденциальности, нередко упускают из виду: шифрование защищает данные лишь до тех пор, пока сам механизм шифрования остаётся нескомпрометированным. BitLocker был разработан для защиты от офлайн-атак — прежде всего сценариев, при которых диск извлекается и считывается на другой машине. Он не задумывался как неприступная крепость против опытного злоумышленника, вооружённого эксплойтом нулевого дня, нацеленным на сам процесс разблокировки диска.

В этом и состоит суть эшелонированной обороны (defense-in-depth). Опора на единственный контроль безопасности, каким бы надёжным он ни был, создаёт единую точку отказа. Когда этот контроль обходится, между злоумышленником и вашими данными не остаётся ничего. Та же логика применима к угрозам на сетевом уровне: шифрование трафика в транзите через VPN не защитит вас, если конечная точка уже скомпрометирована, а защита конечной точки не защищает данные, передающиеся в незашифрованном виде через ненадёжную сеть.

Появление этих двух уязвимостей также напоминает о том, что злоумышленникам не всегда нужна сложная инфраструктура для нанесения серьёзного ущерба. Как задокументировано в таких кампаниях, как поддельные государственные сайты, нацеленные на граждан по всему миру, социальная инженерия и стандартные инструменты нередко сочетаются с публично доступными эксплойтами с разрушительным эффектом. Публичный PoC для обхода BitLocker существенно снижает требования к квалификации атакующего.

Шаги эшелонированной обороны: патчи, VPN и многоуровневая безопасность

До выхода официальных патчей от Microsoft пользователям и администраторам следует предпринять следующие шаги.

Отслеживайте обновления безопасности Microsoft. Держите Центр обновления Windows включённым и проверяйте наличие внеплановых патчей, особенно с учётом публичной доступности кода PoC. Когда патчи выйдут, приоритизируйте их развёртывание.

Включите BitLocker с PIN-кодом. Стандартная конфигурация BitLocker только с TPM более уязвима для данного класса атак. Настройка BitLocker с требованием ввода PIN-кода до загрузки добавляет уровень защиты, повышающий порог для физических злоумышленников.

Ограничьте физический доступ. Для машин с высокой ценностью физические меры безопасности имеют значение. Запираемые серверные помещения, кабельные замки для ноутбуков и чёткие политики в отношении устройств без присмотра — всё это снижает поверхность атаки для YellowKey.

Применяйте многоуровневые меры безопасности. Шифрование диска — это один уровень, а не полноценная стратегия. Сочетайте его с инструментами обнаружения угроз и реагирования на конечных точках, сетевым шифрованием данных в транзите, надёжной аутентификацией и сегментацией сети. VPN гарантирует, что даже если злоумышленник переместится со скомпрометированной конечной точки, исходящие данные не окажутся в открытом виде в сети.

Проверяйте привилегированные учётные записи. Учитывая риск повышения привилегий через GreenPlasma, проверьте, какие учётные записи имеют права локального администратора на конечных точках. Сокращение избыточных привилегий ограничивает радиус поражения в случае использования эксплойта.

Что это означает для вас

Раскрытия YellowKey и GreenPlasma — конкретное напоминание о том, что ни один отдельный инструмент безопасности не обеспечивает полной защиты. Если вся ваша стратегия безопасности данных держится на BitLocker, сейчас самое время провести аудит более широкого стека. Подумайте, что произойдёт, если BitLocker будет обойдён: есть ли ещё один уровень, защищающий ваши наиболее конфиденциальные файлы? Шифруется ли ваш сетевой трафик независимо от диска? Надёжно ли хранятся ваши учётные данные и ключи восстановления?

Превентивные меры важнее до инцидента, чем после него. Проверьте текущие средства контроля безопасности, примените доступные меры снижения рисков и воспринимайте эти раскрытия как возможность укрепить те уровни защиты, которые BitLocker в одиночку обеспечить не может.