オンラインで出回っているゼロデイ エクスプロイトにより、Windows 11 システムに物理的にアクセスできるユーザーがデフォルトの BitLocker 保護をバイパスし、数秒以内に暗号化されたドライブに完全にアクセスできるようになります。
YellowKey という名前のエクスプロイトは、 出版された 今週初めに、Nightmare-Eclipseという別名を持つ研究者によって発表されました。これは、Windows 11 のデフォルトの BitLocker 展開を確実にバイパスします。BitLocker は、Microsoft が提供するフルボリューム暗号化保護で、復号キーがなければディスクの内容を誰にもアクセスできないようにします。復号キーは、トラステッド プラットフォーム モジュール (TPM) として知られる安全なハードウェアに保存されます。 BitLocker は、政府と契約している組織を含む多くの組織にとって必須の保護です。
あるディスク ボリュームが別のディスク ボリュームを操作するとき
YellowKey エクスプロイトの中核は、カスタムメイドの FsTx フォルダーです。このフォルダーに関するオンライン ドキュメントは見つけるのが困難です。後で説明するように、ファイル fstx.dll に関連付けられたディレクトリには、Microsoft が呼ぶディレクトリが含まれているようです。 トランザクションNTFSこれにより、開発者は、単一のファイル、複数のファイル、または複数のソースにまたがるファイルに対するトランザクションでのファイル操作の「トランザクションのアトミック性」を実現できます。
バイパスを実行する手順は簡単です。
- Nightmare-Eclipse エクスプロイト ページからカスタム FsTx フォルダーを NTFS または FAT フォーマットの USB ドライブにコピーします。
- USB ドライブを BitLocker で保護されたデバイスに接続します
- デバイスを起動し、すぐにボタンを押し続けます。 [Ctrl] 鍵
- Windows リカバリに入る
3 番目のステップを実行するには、少なくとも 2 つの方法があります。 1 つの方法は、Windows を起動し、 [Shift] キーを押し、電源アイコンをクリックし、再起動をクリックします。もう 1 つは、デバイスの電源をオンにして、Windows の起動が開始されたらすぐに再起動することです。
どちらの場合も、コマンド (CMD.EXE) プロンプトが表示されます。プロンプトにはドライブの内容全体への完全なアクセス権があり、攻撃者がドライブの内容をコピー、変更、または削除できるようになります。通常の Windows 回復フローでは、攻撃者は BitLocker 回復キーを入力する必要があります。どういうわけか、YellowKey エクスプロイトはこの安全装置を回避します。複数の研究者を含む ケビン・ボーモント そして ウィル・ドーマン、ここで説明されているようにエクスプロイトが機能することを確認しました。
カスタム FsTx フォルダー内の何がバイパスの原因となっているのかは不明です。 Dormann 氏は、それ自体が使用する Transactional NTFS に関連しているようだと述べました。 コマンドログファイルシステム ボンネットの下で。 Dormann 氏はさらに、Windows の fstx.dll を見ると、FsTxFindSessions() 関数で \System Volume Information\FsTx を明示的に検索するコードが見つかると述べました。
