Исследователь назвал новую уязвимость Windows 11 «одним из самых безумных открытий»

Исследователь безопасности под псевдонимом Nightmare-Eclipse раскрыл потенциально опасную уязвимость обхода BitLocker в Windows 11. Названная YellowKey, эта уязвимость позволяет злоумышленнику читать содержимое диска, зашифрованного с помощью BitLocker, используя стандартное поведение среды восстановления Windows (WinRE).

Nightmare-Eclipse отмечает, что, согласно его тестам, уязвимость присутствует только в Windows 11. Исследователь описывает ее как «одно из самых безумных открытий, которые я когда-либо делал».

На этой неделе Microsoft подтвердила наличие уязвимости и раскритиковала публичное распространение доказательства концепции YellowKey, заявив, что это нарушает «лучшие практики скоординированного раскрытия уязвимостей». Компания присвоила уязвимости идентификатор CVE-2026-45585 и предоставила некоторые рекомендации по смягчению последствий, однако на момент написания статьи обход BitLocker остается незапатченным. Стоит отметить, что для атаки требуется физический доступ к целевому устройству, что само по себе является некоторым сдерживающим фактором.

Кибербезопасная компания Eclypsium в своем недавнем блоге объясняет, что YellowKey работает, используя среду восстановления Windows для «предоставления полностью разблокированной командной строки для дисков, которые операционная система продолжает считать зашифрованными». Теоретически для запуска атаки потребуется лишь «украденный ноутбук с Windows 11 и USB-накопитель».

Компания также уточняет, что уязвимость, по-видимому, отсутствует в Windows 10, поскольку «компонент WinRE, ответственный за это, ведет себя иначе в этой кодовой базе». Кроме того, «уязвимые файловые системы на носителе, предоставленном злоумышленником, включают NTFS, FAT32 и exFAT, что снимает любые значимые ограничения на способ доставки полезной нагрузки».

Nightmare-Eclipse предполагает, что обход является скорее «бэкдором». «Компонент, ответственный за эту ошибку, не присутствует нигде (даже в интернете), кроме как внутри образа WinRE», — объясняет он. «И что вызывает подозрения, так это то, что точно такой же компонент присутствует с точно таким же именем в обычной установке Windows, но без функциональных возможностей, которые вызывают проблему обхода BitLocker».

Microsoft не подтвердила эту теорию, назвав проблему «уязвимостью обхода функции безопасности». Как вы уже могли догадаться, это далеко не единственная уязвимость, обнаруженная в Windows 11 в этом году. Только в прошлом месяце другой исследователь безопасности предупредил, как новая и улучшенная функция Recall может быть использована злоумышленниками. Словно мне нужна была еще одна причина опасаться интеграции ИИ.

Однако проблемы с безопасностью вызывают не только функции ИИ. Самая новая версия «Блокнота» также получила уязвимость удаленного выполнения кода. По крайней мере, с обходом BitLocker YellowKey вам не придется беспокоиться об удаленном выполнении кода. Это небольшая победа, но я уверен, что кто-то в Microsoft ее примет.