YellowKey 是什么，它针对哪些目标？

YellowKey 是一个未修补的 Windows 零日漏洞，针对 Windows 10、11 以及 Windows Server 2022 和 2025 内置的全盘加密功能 BitLocker。它利用 Windows 恢复环境中的一个弱点，允许能够物理接触目标设备的攻击者绕过 BitLocker 保护并读取加密驱动器的内容。

GreenPlasma 漏洞有何危害？

GreenPlasma 针对的是 CTFMON——一个管理文本输入、手写识别和语言设置的 Windows 后台进程。它可实现本地权限提升，允许已在系统上获得立足点的攻击者将自身权限提升至管理员或 SYSTEM 级别的访问权限。

微软是否已针对 YellowKey 和 GreenPlasma 发布补丁？

截至本文撰写时，微软尚未针对上述任一漏洞发布补丁。概念验证漏洞利用代码已公开可用，这降低了技术水平较低的威胁行为者实施利用的门槛。

YellowKey 的利用是否需要物理访问权限？

是的，YellowKey 要求攻击者能够物理接触目标机器，才能绕过 BitLocker 保护。现实的威胁场景包括被盗笔记本电脑、共用办公场所中的设备，以及在边境口岸被扣押的机器。

GreenPlasma 在真实攻击中会如何被利用？

GreenPlasma 可与其他攻击技术组合使用，例如通过网络钓鱼邮件投递低权限的初始载荷，随后利用 GreenPlasma 漏洞获取完整的系统控制权。企业环境、政府机构以及处理敏感文件的个人均被视为高风险群体。

YellowKey 与 GreenPlasma：两个 Windows 零日漏洞攻击 BitLocker

安全研究人员公开披露了两个未修补的 Windows 零日漏洞，分别命名为 YellowKey 和 GreenPlasma，它们分别针对 BitLocker 加密和 CTFMON 输入框架。概念验证漏洞利用代码已经发布，这意味着 Windows BitLocker 零日漏洞并非只停留在理论层面。对于数百万依赖 BitLocker 作为数据保护核心策略的用户和组织而言，此次披露是一记严重的警示。

YellowKey 和 GreenPlasma 的实际危害

YellowKey 是两者中更为紧迫的威胁。它针对的是 BitLocker——Windows 10 和 11 以及 Windows Server 2022 和 2025 内置的全盘加密功能。通过利用 Windows 恢复环境中的一个弱点，该漏洞允许能够物理接触目标设备的攻击者绕过 BitLocker 的默认保护，并访问加密驱动器中的内容。在实际场景中，一台此前被认为在 BitLocker 加密保护下安全无虞的被盗笔记本电脑，其数据可能在无需正确 PIN 码或密码的情况下被读取。

GreenPlasma 针对的是 CTFMON——一个管理文本输入、手写识别和语言设置的 Windows 后台进程。该漏洞可实现本地权限提升，即已在系统上站稳脚跟的攻击者可将自身权限提升至更高级别，可能获得管理员或 SYSTEM 级别的访问权限。两个漏洞合在一起构成了一种危险的组合：一个打破了保护静态数据的屏障，另一个则在攻击者进入系统后实现更深层次的系统入侵。

截至本文撰写时，微软尚未针对上述任一漏洞发布补丁。概念验证代码已公开可用，这大大降低了技术水平较低的威胁行为者实施利用的门槛。

哪些人面临风险，哪些数据可能泄露

任何运行已启用 BitLocker 的 Windows 11 系统或 Windows Server 2022 和 2025 的用户，都可能受到 YellowKey 的影响。物理访问的前提条件确实比完全远程利用漏洞的攻击面更窄，但这一限定条件并不足以令人放心。在混合办公环境中使用的员工笔记本电脑、存放在共用办公场所的设备，以及在边境口岸被扣押或检查的机器，都是现实存在的威胁场景。

就 GreenPlasma 而言，风险面在某些方面更广。本地权限提升漏洞经常与其他攻击技术组合使用。例如，一封投递低权限初始载荷的网络钓鱼邮件，可能随后配合 GreenPlasma 漏洞利用以获取完整的系统控制权。企业环境、政府机构以及处理敏感文件的个人，都处于攻击者的瞄准范围之内。

泄露的数据涵盖个人文档、财务记录、企业知识产权以及存储在磁盘上的凭据。在 HIPAA、GDPR 或 CMMC 等合规框架下运营的组织，需要评估这些漏洞是否影响其监管合规义务。

为什么 BitLocker 用户不能单独依赖磁盘加密

YellowKey 的披露揭示了注重隐私的用户常常忽视的一个根本局限：加密只能在加密机制本身未受到破坏的前提下保护数据。BitLocker 旨在防御离线攻击，主要针对驱动器被取出后在另一台机器上读取的场景。它并非为抵御掌握了针对驱动器解锁管理流程零日漏洞的老练攻击者而设计的坚不可摧的堡垒。

这正是纵深防御的核心论据。无论多么值得信赖，依赖单一安全控制都会造成单点故障。一旦该控制被绕过，攻击者与你的数据之间便再无任何屏障。同样的逻辑也适用于网络层威胁：通过 VPN 加密传输中的流量，并不能在终端已被入侵的情况下保护你；而保护终端也无法保护在不可信网络上以明文传输的数据。

这两个漏洞的出现也提醒我们，威胁行为者并不总需要复杂的基础设施便能造成严重危害。正如针对全球公民的伪造政府网站等活动所记录的那样，社会工程学和现成工具经常与公开可用的漏洞利用程序结合使用，造成破坏性的后果。BitLocker 绕过漏洞的公开 PoC 大幅降低了利用所需的技术门槛。

纵深防御措施：打补丁、VPN 与分层安全

在微软发布官方补丁之前，用户和管理员应采取以下措施。

关注微软安全更新。 保持 Windows Update 启用状态，并留意带外补丁，尤其是在 PoC 代码已公开可用的情况下。补丁发布后，优先进行部署。

为 BitLocker 启用 PIN 码。 默认的仅 TPM 模式的 BitLocker 配置更易受到此类攻击。将 BitLocker 配置为要求预启动 PIN 码，可增加一层阻碍，提高物理攻击者的攻击难度。

限制物理访问。 对于高价值机器，物理安全控制至关重要。上锁的服务器机房、笔记本电脑防盗锁以及关于无人值守设备的明确规定，都能减少 YellowKey 的攻击面。

分层部署安全控制。 磁盘加密只是其中一层，而非完整的安全策略。将其与终端检测和响应工具、传输数据的网络层加密、强身份验证以及网络分段相结合。VPN 能够确保即使攻击者从已入侵的终端横向移动，出站数据也不会以明文形式暴露在网络上。

审计特权账户。 鉴于 GreenPlasma 权限提升风险，审查哪些账户在终端上拥有本地管理员权限。减少不必要的权限可在漏洞被利用时降低爆炸半径。

这对你意味着什么

YellowKey 和 GreenPlasma 的披露具体地提醒我们：没有任何单一安全工具能够提供完整的保护。如果你的整个数据安全策略完全建立在 BitLocker 之上，现在正是审计整体安全栈的时候。思考一下，如果 BitLocker 被绕过会发生什么：是否还有另一层保护你最敏感的文件？你的网络流量是否独立于磁盘加密进行了加密？你的凭据和恢复密钥是否安全存储？

主动采取措施在事件发生前比事后更为重要。审查当前的安全控制，应用可用的缓解措施，并将这些披露视为加固 BitLocker 单独无法覆盖的安全层的契机。