Zero-day эксплойт YellowKey обходит BitLocker в Windows 11 за секунды

Исследователь под псевдонимом Nightmare-Eclipse опубликовал рабочий zero-day эксплойт YellowKey, который позволяет обойти шифрование BitLocker на Windows 11 при наличии физического доступа к машине. Атака занимает секунды и не требует ввода ключа восстановления — главного барьера, который BitLocker выставляет при нештатной загрузке.

BitLocker — встроенная в Windows система полнодискового шифрования. Ключ дешифрования хранится в TPM (Trusted Platform Module) — защищённом аппаратном чипе на материнской плате. В штатном сценарии без правильного ключа содержимое диска недоступно даже при загрузке с внешнего носителя. Именно поэтому BitLocker является обязательным требованием для организаций, работающих по государственным контрактам в США и ряде других стран.

Основа эксплойта — специально подготовленная папка FsTx, которую нужно скопировать на USB-накопитель с файловой системой NTFS или FAT. Далее алгоритм атаки прост: подключить флешку к целевому устройству, загрузиться и сразу удерживать клавишу Ctrl, войти в среду восстановления Windows. В открывшемся командном интерпретаторе (CMD.EXE) атакующий получает полный доступ к диску — возможность читать, копировать, изменять и удалять файлы. В обычном сценарии восстановления Windows потребовала бы ввода 48-значного ключа BitLocker Recovery Key, однако YellowKey этот запрос полностью минует.

По предположению исследователя Уилла Дорманна, механизм обхода связан с Transactional NTFS (TxF) — подсистемой Windows, позволяющей разработчикам выполнять файловые операции с гарантией транзакционной атомарности. Дорманн указал, что в библиотеке fstx.dll есть функция FsTxFindSessions(), которая явно ищет путь \System Volume Information\FsTx. Предположительно, кастомная папка из эксплойта манипулирует этим механизмом таким образом, что среда восстановления пропускает проверку BitLocker. Точный механизм обхода пока не раскрыт — документация по FsTx в открытом доступе крайне скудна.

Работоспособность YellowKey независимо подтвердили два известных специалиста по безопасности — Кевин Бомонт и Уилл Дорманн. Оба верифицировали, что эксплойт воспроизводится на стандартных конфигурациях Windows 11 с включённым BitLocker по умолчанию.

Для отрасли это означает, что организации, полагающиеся исключительно на BitLocker как на защиту от физического доступа к данным, оказались уязвимы. Атака не требует специализированного оборудования или глубоких технических знаний — только флешка и четыре шага из публичной инструкции. До выхода патча от Microsoft единственной надёжной мерой остаётся строгий контроль физического доступа к устройствам и использование дополнительного PIN-кода при загрузке BitLocker, который не хранится в TPM.