YellowKey та GreenPlasma: два Windows zero-day атакують BitLocker

YellowKey та GreenPlasma: два Windows zero-day атакують BitLocker

Дослідники безпеки публічно розкрили дві невиправлені Windows zero-day вразливості під назвами YellowKey та GreenPlasma, які атакують шифрування BitLocker та фреймворк введення CTFMON відповідно. Код експлойту для підтвердження концепції вже опублікований, що означає: zero-day вразливість Windows BitLocker — це не просто теорія. Для мільйонів користувачів і організацій, які покладаються на BitLocker як на основу своєї стратегії захисту даних, це розкриття є серйозним дзвоником тривоги.

Що насправді роблять YellowKey та GreenPlasma

YellowKey є більш негайно загрозливою з двох. Вона атакує BitLocker — функцію повного шифрування диска, вбудовану в Windows 10 та 11, а також Windows Server 2022 та 2025. Експлуатуючи слабкість у середовищі відновлення Windows, вразливість дозволяє зловмиснику з фізичним доступом до машини обійти стандартний захист BitLocker і отримати доступ до вмісту зашифрованого диска. На практиці це означає, що вкрадений ноутбук, який раніше вважався захищеним шифруванням BitLocker, може мати свої дані прочитані без правильного PIN-коду або пароля.

GreenPlasma атакує CTFMON — фоновий процес Windows, що керує введенням тексту, розпізнаванням рукопису та мовними налаштуваннями. Ця вразливість уможливлює локальне підвищення привілеїв, тобто зловмисник, який вже закріпився в системі, може підвищити свої дозволи до вищого рівня, потенційно отримавши доступ адміністратора або рівня SYSTEM. Разом обидві вразливості становлять небезпечну комбінацію: одна руйнує стіну, що захищає ваші дані у стані спокою, тоді як інша уможливлює глибше проникнення в систему, коли зловмисник вже всередині.

На момент написання цієї статті Microsoft не випустила виправлень для жодної з вразливостей. Код підтвердження концепції є загальнодоступним, що суттєво знижує поріг для експлуатації менш досвідченими зловмисниками.

Хто наражається на ризик і які дані під загрозою

Будь-хто, хто використовує систему Windows 11 або Windows Server 2022 та 2025 із увімкненим BitLocker, потенційно перебуває під впливом YellowKey. Вимога фізичного доступу дійсно обмежує поверхню атаки порівняно з повністю дистанційним експлойтом, але це застереження не повинно давати особливого спокою. Ноутбуки, якими користуються працівники в гібридних робочих середовищах, пристрої у спільних офісних просторах та машини, вилучені або перевірені на прикордонних переходах, — усе це реалістичні сценарії загроз.

Для GreenPlasma профіль ризику є ширшим у певних аспектах. Вразливості локального підвищення привілеїв часто поєднують з іншими техніками атак. Наприклад, фішинговий лист, що доставляє початкове корисне навантаження з низькими привілеями, може бути доповнений експлойтом GreenPlasma для отримання повного контролю над системою. Корпоративні середовища, державні органи та особи, що працюють із конфіденційними файлами, — усі перебувають під прицілом.

Дані, що можуть бути розкриті, охоплюють діапазон від особистих документів та фінансових записів до корпоративної інтелектуальної власності й облікових даних, збережених на диску. Організації, що діють у межах регуляторних фреймворків, таких як HIPAA, GDPR або CMMC, повинні оцінити, чи впливають ці вразливості на їхні регуляторні зобов'язання.

Чому користувачі BitLocker не можуть покладатися лише на шифрування диска

Розкриття YellowKey ілюструє фундаментальне обмеження, яке свідомі щодо конфіденційності користувачі часто недооцінюють: шифрування захищає дані лише доти, доки сам механізм шифрування залишається непорушеним. BitLocker був розроблений для захисту від офлайн-атак — насамперед сценаріїв, коли диск виймають і читають на іншій машині. Він не був розроблений як непробивна фортеця проти досвідченого зловмисника, озброєного zero-day експлойтом, що атакує сам процес розблокування диска.

Це і є основний аргумент на користь глибокого захисту. Покладатися на єдиний засіб контролю безпеки, яким би надійним він не був, створює єдину точку відмови. Коли цей засіб обходять, між зловмисником і вашими даними більше нічого не залишається. Та сама логіка застосовується до загроз на рівні мережі: шифрування трафіку під час передачі через VPN не захищає вас, якщо ваш кінцевий пристрій вже скомпрометований, а захист кінцевого пристрою не захищає дані, що передаються незашифрованими через ненадійну мережу.

Поява цих двох вразливостей також нагадує, що зловмисникам не завжди потрібна складна інфраструктура для завдання серйозної шкоди. Як задокументовано в кампаніях на кшталт підроблених державних сайтів, що атакують громадян по всьому світу, соціальна інженерія та типові інструменти часто поєднуються з публічно доступними експлойтами з руйнівним ефектом. Публічний PoC для обходу BitLocker суттєво знижує поріг необхідних навичок.

Кроки глибокого захисту: патчі, VPN та багаторівнева безпека

До виходу офіційних виправлень від Microsoft користувачі та адміністратори повинні вжити таких заходів.

Стежте за оновленнями безпеки Microsoft. Тримайте Windows Update увімкненим і перевіряйте позапланові патчі, особливо з огляду на публічну доступність коду PoC. Коли патчі з'являться, пріоритизуйте їх розгортання.

Увімкніть BitLocker з PIN-кодом. Стандартна конфігурація BitLocker лише з TPM є більш вразливою до цього класу атак. Налаштування BitLocker з вимогою введення PIN-коду перед завантаженням додає рівень складності, що підвищує планку для фізичних зловмисників.

Обмежте фізичний доступ. Для машин з високою цінністю засоби фізичної безпеки мають значення. Зачинені серверні кімнати, замки-кабелі для ноутбуків і чіткі правила щодо пристроїв без нагляду — усе це зменшує поверхню атаки для YellowKey.

Використовуйте багаторівневі засоби контролю безпеки. Шифрування диска — це один рівень, а не повноцінна стратегія. Поєднуйте його з інструментами виявлення та реагування на загрози кінцевих пристроїв, мережевим шифруванням для даних під час передачі, надійною автентифікацією та сегментацією мережі. VPN гарантує, що навіть якщо зловмисник перемкнеться зі скомпрометованого кінцевого пристрою, вихідні дані не будуть передані у відкритому вигляді в мережі.

Перевіряйте привілейовані облікові записи. З огляду на ризик підвищення привілеїв через GreenPlasma, перегляньте, які облікові записи мають права локального адміністратора на кінцевих пристроях. Скорочення зайвих привілеїв обмежує масштаб збитків у разі використання експлойту.

Що це означає для вас

Розкриття YellowKey та GreenPlasma є конкретним нагадуванням про те, що жоден окремий інструмент безпеки не забезпечує повного захисту. Якщо вся ваша стратегія захисту даних спирається на BitLocker, настав час перевірити ширший стек. Подумайте, що станеться, якщо BitLocker буде обійдений: чи є інший рівень, що захищає ваші найбільш конфіденційні файли? Чи зашифрований ваш мережевий трафік незалежно від вашого диска? Чи зберігаються ваші облікові дані та ключі відновлення в безпечному місці?

Проактивні заходи мають більше значення до інциденту, ніж після нього. Перегляньте поточні засоби контролю безпеки, застосуйте доступні заходи пом'якшення та сприйміть ці розкриття як можливість зміцнити рівні, які BitLocker сам по собі не може покрити.