BitLocker曾是企业数据安全的最后一道防线。现在,一个U盘加几秒操作就能让它形同虚设。
安全研究员Nightmare-Eclipse本周发布了名为YellowKey的零日漏洞利用工具。测试证实,该工具能在数秒内绕过Windows 11默认部署的BitLocker全盘加密,直接获取加密硬盘完整读写权限——无需恢复密钥,无需破解密码。
BitLocker是微软提供的全卷加密方案,解密密钥存储在可信平台模块(TPM)这一独立安全芯片中。按设计,即使硬盘被拆走,没有密钥的数据也应是一堆乱码。该保护对许多政府承包商等机构属于强制配置。
YellowKey的攻击路径出人意料地简单:
1. 将特制的FsTx文件夹复制到NTFS或FAT格式U盘
2. U盘插入目标设备
3. 开机瞬间长按Ctrl键进入Windows恢复环境
4. 命令提示符自动弹出,且已具备完整磁盘访问权限
进入恢复环境有两种方式:一是在Windows内按住Shift键点击重启;二是开机后趁系统启动瞬间强制重启。两种方式最终都会触发CMD.EXE,且跳过了本应出现的BitLocker恢复密钥输入环节。
这个能骗过系统的FsTx文件夹是什么来头?公开资料极少。安全研究员Will Dormann分析指出,该目录关联的fstx.dll涉及微软的Transactional NTFS技术——一种为文件操作提供"事务原子性"的机制,允许开发者对单文件、多文件或跨源操作进行事务管理。Dormann在Windows fstx.dll代码中发现,FsTxFindSessions()函数会显式查找\System Volume Information\FsTx路径。
多位独立研究员已复现该漏洞,包括前微软安全研究员Kevin Beaumont。目前尚不清楚FsTx文件夹内具体哪部分触发了绕过机制,但Dormann推测与Transactional NTFS底层使用的命令日志文件系统有关。
该漏洞的杀伤力在于"默认配置"四个字。多数企业部署BitLocker时依赖TPM自动解密,用户开机无感知。YellowKey恰恰针对这一便利设计——攻击者不需要你的密码,不需要你的密钥,只需要几十秒的物理接触和一枚普通U盘。
微软尚未发布补丁。对企业IT部门而言,这意味着加密策略的重新评估:或许该考虑额外的启动前身份验证,或者重新权衡"安全"与"便利"的边界究竟该划在哪里。
热门跟贴