Sió-Informatika Rendszerház

HÍREK

YellowKey: új BitLocker bypass sérülékenység miatt sürgősségi mitigációt adott ki a Microsoft

YellowKey BitLocker bypass

A Microsoft rendkívüli mitigációt adott ki egy új, „YellowKey” néven ismert BitLocker megkerülési sérülékenység miatt, miután kutatók nyilvánosan publikálták a működő proof-of-concept exploitot.

A sérülékenység:

  • CVE-2026-45585
  • CVSS: 6.8
  • kategória: Security Feature Bypass

Bár nem klasszikus remote code execution hibáról van szó, a veszély rendkívül komoly:

fizikai hozzáféréssel rendelkező támadó képes lehet BitLockerrel titkosított rendszerek adatainak elérésére.

Mi az a YellowKey?

A YellowKey egy BitLocker bypass technika, amely:

  • a Windows Recovery Environmentet (WinRE),
  • valamint a BitLocker TPM-only trust modelljét

használja ki.

A kutató szerint a támadás során:

  • speciálisan kialakított FsTx fájlokat helyeznek el
  • USB eszközön vagy EFI partíción.

Ezután:

  1. a gépet WinRE módba bootolják,
  2. a recovery folyamat közben
  3. egy speciális pillanatban CTRL billentyűt nyomnak,
  4. majd egy emelt jogosultságú shell nyílik meg.

Ez a shell:

teljes hozzáférést biztosíthat a BitLockerrel védett kötethez.

Miért különösen veszélyes?

A támadás:

  • nem igényel hálózati hozzáférést,
  • nem kell malware,
  • nem kell admin jogosultság,
  • nem kell user account,
  • nem kell phishing.

Elég hozzá:

  • rövid fizikai hozzáférés,
  • USB port,
  • újraindítási lehetőség.

Ez klasszikus:

  • „evil maid” típusú támadás.

Mely rendszerek érintettek?

A Microsoft szerint:

  • Windows 11 24H2
  • Windows 11 25H2
  • Windows 11 26H1
  • Windows Server 2025
  • Windows Server 2025 Core

érintett.

Különösen veszélyeztetettek:

  • TPM-only BitLocker konfigurációk.

Mi a probléma a TPM-only móddal?

TPM-only esetben:

  • a TPM automatikusan feloldja a titkosítást boot során,
  • ha a rendszer integritásellenőrzése rendben van.

Ez kényelmes,
de a kutatók évek óta figyelmeztetnek:

fizikai támadások ellen nem elég erős védelem.

A YellowKey ezt a trust modellt támadja.

Hogyan működik technikailag?

A támadás a:

  • WinRE recovery workflow,
  • autofstx.exe,
  • valamint Transactional NTFS

működését használja ki.

A WinRE induláskor automatikusan futtatja:

  • az FsTx Auto Recovery Utilityt.

Ez a komponens:

  • még a teljes BitLocker hitelesítés előtt
  • magas privilégiumokkal működik.

A támadó ezt manipulálja úgy,
hogy recovery shellt kapjon.

Microsoft sürgősségi mitigációja

A Microsoft egyelőre:

  • nem adott ki teljes patch-et,
  • csak mitigációt.

A mitigáció lényege

A rendszergazdáknak:

1. Mountolni kell a WinRE image-et
2. Registry hive módosítás

A BootExecute kulcsból el kell távolítani:

  • autofstx.exe

indítását.

3. Recovery image újracsomagolása
4. BitLocker trust újraépítése

Ez enterprise környezetben:

  • nem triviális művelet.

Miért problémás enterprise környezetben?

Sok szervezet használ:

  • custom recovery image-et,
  • automatizált provisioninget,
  • OEM recovery partíciókat.

Ezeknél:

  • kompatibilitási problémák,
  • recovery hibák,
  • provisioning issue-k

is előjöhetnek.

Mit javasol most a Microsoft?

TPM+PIN kötelezővé tétele

A Microsoft gyakorlatilag nyíltan kimondta:

a TPM-only már nem elég.

Ajánlás:

  • TPM + PIN.

Ez azt jelenti:

  • boot során PIN megadása is szükséges.

Így a TPM önmagában nem oldja fel a lemezt.

Ajánlott hardening lépések

BIOS/UEFI védelem
  • BIOS jelszó
  • Secure Boot
  • external boot tiltása
USB boot tiltása

Különösen laptopoknál kritikus.

WinRE audit
  • recovery image integrity
  • unauthorized modification detection
BitLocker policy audit

Különösen:

  • TPM-only deploymentök keresése.

Kiket érint leginkább?

Corporate laptopok

Utazó dolgozók.

Government endpointok

Határátlépések, customs inspection.

Shared workstationök
Data center recovery systems
Lost/stolen eszközök

Miért fontos ez stratégiailag?

A YellowKey egy nagyon fontos trendet mutat:

a támadók egyre inkább a pre-boot és recovery környezeteket támadják.

A modern támadási felületek:

  • firmware
  • UEFI
  • TPM
  • recovery partition
  • bootloader
  • trusted boot chain

irányába tolódnak.

Nem elég már „csak” titkosítani

A történet legfontosabb tanulsága:

a titkosítás önmagában nem elég,
ha a recovery és boot folyamat sebezhető.

Mire kell most figyelniük a szervezeteknek?

Azonnali prioritások

TPM-only rendszerek azonosítása
TPM+PIN rollout
WinRE hardening
USB boot tiltása
Recovery environment monitoring
BIOS/UEFI lock
Laptop security policy review

Összegzés

A YellowKey:

  • nem remote exploit,
  • nem malware,
  • nem ransomware,
  • mégis rendkívül veszélyes.

Mert:

  • megkerülheti a BitLockert,
  • fizikai hozzáféréssel működik,
  • nyilvános PoC már elérhető,
  • enterprise laptopok tömege lehet érintett.

A Microsoft sürgősségi mitigációja azt mutatja:

a pre-boot security ma már ugyanolyan fontos,
mint az operációs rendszer védelme.

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!