Vad är YellowKey och vad riktar den sig mot?

YellowKey är en ej åtgärdad Windows zero-day-sårbarhet som riktar sig mot BitLocker, funktionen för helhetsdiskkryptering som är inbyggd i Windows 10, 11 och Windows Server 2022 och 2025. Den utnyttjar en svaghet i Windows återställningsmiljö för att låta en angripare med fysisk åtkomst kringgå BitLockers skydd och läsa innehållet på en krypterad enhet.

Vad gör GreenPlasma-sårbarheten?

GreenPlasma riktar sig mot CTFMON, en Windows-bakgrundsprocess som hanterar textinmatning, handskriftsigenkänning och språkinställningar. Den möjliggör lokal privilegieeskalering, vilket gör det möjligt för en angripare som redan har fått fotfäste i ett system att höja sina behörigheter till administratörs- eller SYSTEM-nivå åtkomst.

Har Microsoft släppt patchar för YellowKey och GreenPlasma?

Nej, vid tidpunkten för artikelns skrivande har Microsoft inte utfärdat patchar för någondera sårbarheten. Proof-of-concept-exploitkod är redan offentligt tillgänglig, vilket sänker tröskeln för utnyttjande av mindre sofistikerade hotaktörer.

Kräver YellowKey fysisk åtkomst för att utnyttjas?

Ja, YellowKey kräver att en angripare har fysisk åtkomst till målmaskinen för att kringgå BitLockers skydd. Realistiska hotscenarier inkluderar stulna bärbara datorer, enheter i gemensamma kontorsutrymmen och maskiner som beslagtas vid gränskontroller.

Hur skulle GreenPlasma kunna användas i en verklig attack?

GreenPlasma kan kombineras med andra attacktekniker, till exempel ett nätfiskemail som levererar en initialt lågprivilegierad nyttolast, följt av en GreenPlasma-exploit för att uppnå full systemkontroll. Företagsmiljöer, statliga myndigheter och privatpersoner som hanterar känsliga filer anses alla vara i riskzonen.

YellowKey och GreenPlasma: Två Windows Zero-Days Drabbar BitLocker

Säkerhetsforskare har offentligt avslöjat två ej åtgärdade Windows zero-day-sårbarheter, kallade YellowKey och GreenPlasma, som riktar sig mot BitLocker-kryptering respektive CTFMON-inmatningsramverket. Proof-of-concept-exploitkod har redan släppts, vilket innebär att Windows BitLocker zero-day-sårbarheten inte bara är teoretisk. För de miljontals användare och organisationer som förlitar sig på BitLocker som en hörnsten i sin dataskyddsstrategi är detta avslöjande en allvarlig väckarklocka.

Vad YellowKey och GreenPlasma Faktiskt Gör

YellowKey är den mest omedelbart alarmerande av de två. Den riktar sig mot BitLocker, funktionen för helhetsdiskkryptering som är inbyggd i Windows 10 och 11 samt Windows Server 2022 och 2025. Genom att utnyttja en svaghet i Windows återställningsmiljö gör sårbarheten det möjligt för en angripare med fysisk åtkomst till en maskin att kringgå BitLockers standardskydd och få tillgång till innehållet på en krypterad enhet. I praktiken innebär det att en stulen bärbar dator som tidigare ansågs säker bakom BitLocker-kryptering kan få sin data läst utan korrekt PIN-kod eller lösenord.

GreenPlasma riktar sig mot CTFMON, en Windows-bakgrundsprocess som hanterar textinmatning, handskriftsigenkänning och språkinställningar. Denna sårbarhet möjliggör lokal privilegieeskalering, vilket innebär att en angripare som redan har fått fotfäste i ett system kan höja sina behörigheter till en högre nivå och potentiellt uppnå administratörs- eller SYSTEM-nivå åtkomst. De två sårbarheterna tillsammans utgör en farlig kombination: den ena bryter ned muren som skyddar din data i vila, medan den andra möjliggör djupare systemkompromiss när en angripare väl är inne.

Vid tidpunkten för skrivandet har Microsoft inte utfärdat patchar för någondera sårbarheten. Proof-of-concept-kod är offentligt tillgänglig, vilket avsevärt sänker tröskeln för utnyttjande av mindre sofistikerade hotaktörer.

Vem Löper Risk och Vilken Data Exponeras

Alla som kör ett Windows 11-system eller Windows Server 2022 och 2025 med BitLocker aktiverat påverkas potentiellt av YellowKey. Kravet på fysisk åtkomst begränsar attackytan jämfört med en helt fjärrbaserad exploit, men den begränsningen bör inte ge alltför stor trygghet. Bärbara datorer som används av anställda i hybridarbetsmiljöer, enheter förvarade i gemensamma kontorsutrymmen och maskiner som beslagtas eller inspekteras vid gränskontroller är alla realistiska hotscenarier.

För GreenPlasma är riskprofilen på vissa sätt bredare. Sårbarheter för lokal privilegieeskalering kombineras ofta med andra attacktekniker. Ett nätfiskemail som levererar en initialt lågprivilegierad nyttolast kan till exempel följas av en GreenPlasma-exploit för att uppnå full systemkontroll. Företagsmiljöer, statliga myndigheter och privatpersoner som hanterar känsliga filer befinner sig alla i skottlinjen.

Den exponerade datan sträcker sig från personliga dokument och finansiella register till företagens immateriella tillgångar och inloggningsuppgifter lagrade på disk. Organisationer som verkar under regelverksstandarder som HIPAA, GDPR eller CMMC behöver bedöma huruvida dessa sårbarheter påverkar deras regelefterlevnadsskyldigheter.

Varför BitLocker-Användare Inte Kan Förlita Sig Enbart på Diskkryptering

YellowKey-avslöjandet illustrerar en grundläggande begränsning som integritetsmedvetna användare ofta förbiser: kryptering skyddar data endast så länge som krypteringsmekanismen i sig förblir okomprometterad. BitLocker utformades för att skydda mot offlineattacker, i första hand scenarier där en enhet tas bort och läses på en annan maskin. Det utformades inte för att vara en ogenomtränglig fästning mot en sofistikerad angripare beväpnad med en zero-day-exploit som riktar sig mot just den process som hanterar enhetsupplåsning.

Detta är kärnargumentet för djupgående försvar. Att förlita sig på en enda säkerhetskontroll, hur betrodd den än är, skapar en enda felpunkt. När den kontrollen kringgås finns det inget kvar som står mellan en angripare och din data. Samma logik gäller nätverksnivåhot: att kryptera trafik under transport via ett VPN skyddar dig inte om din slutpunkt redan har komprometterats, och att säkra din slutpunkt skyddar inte data som flödar okrypterat över ett opålitligt nätverk.

Framväxten av dessa två sårbarheter fungerar också som en påminnelse om att hotaktörer inte alltid behöver sofistikerad infrastruktur för att orsaka allvarlig skada. Som dokumenterats i kampanjer som falska statliga webbplatser riktade mot medborgare världen över kombineras social ingenjörskonst och standardverktyg ofta med offentligt tillgängliga exploits med förödande effekt. En offentlig PoC för ett BitLocker-kringgående sänker kompetenskravet avsevärt.

Steg för Djupgående Försvar: Patchning, VPN och Lagerbaserad Säkerhet

Tills Microsoft släpper officiella patchar bör användare och administratörer vidta följande åtgärder.

Bevaka Microsofts säkerhetsuppdateringar. Håll Windows Update aktiverat och kontrollera om det finns out-of-band-patchar, särskilt med tanke på den offentliga tillgängligheten av PoC-kod. När patchar anländer, prioritera driftsättning.

Aktivera BitLocker med en PIN-kod. Standardkonfigurationen av BitLocker med enbart TPM är mer mottaglig för denna typ av attack. Att konfigurera BitLocker till att kräva en PIN-kod före start lägger till ett friktionslager som höjer ribban för fysiska angripare.

Begränsa fysisk åtkomst. För maskiner med högt värde spelar fysiska säkerhetskontroller roll. Låsta serverrum, kabellås för bärbara datorer och tydliga policyer om obevakade enheter minskar alla attackytan för YellowKey.

Skikta dina säkerhetskontroller. Diskkryptering är ett lager, inte en komplett strategi. Kombinera det med verktyg för slutpunktsdetektering och respons, nätverksnivåkryptering för data under transport, stark autentisering och nätverkssegmentering. Ett VPN säkerställer att även om en angripare rör sig från en komprometterad slutpunkt exponeras inte utgående data i klartext på nätverket.

Granska privilegierade konton. Med tanke på risken för privilegieeskalering med GreenPlasma, se över vilka konton som har lokala administratörsrättigheter på slutpunkter. Att minska onödiga privilegier begränsar skaderadien om en exploit används.

Vad Detta Betyder För Dig

Avslöjandena om YellowKey och GreenPlasma är en konkret påminnelse om att inget enskilt säkerhetsverktyg ger fullständigt skydd. Om hela din datasäkerhetsstrategi vilar på BitLocker är det nu dags att granska hela säkerhetsstacken. Fundera på vad som händer om BitLocker kringgås: finns det ett annat lager som skyddar dina känsligaste filer? Är din nätverkstrafik krypterad oberoende av din disk? Lagras dina inloggningsuppgifter och återställningsnycklar säkert?

Proaktiva åtgärder spelar större roll före en incident än efter. Se över dina nuvarande säkerhetskontroller, tillämpa tillgängliga begränsningar och behandla dessa avslöjanden som en möjlighet att stärka de lager som BitLocker ensamt inte kan täcka.