据安全社区最新消息,一个名为YellowKey的零日漏洞正在线上流传。只要攻击者获得目标机器的物理访问权,该漏洞就能在数秒内绕过Windows 11系统的默认BitLocker防护,让加密驱动器内的数据完全暴露。这一发现直接挑战了微软全卷加密方案的安全承诺。
BitLocker的安全基石与软肋
BitLocker是微软为Windows设备提供的全卷加密机制,其核心设计目的是让磁盘内容对没有解密密钥的人完全不可读。在默认配置下,Windows 11将解密密钥存储在受信任的平台模块(TPM)中。TPM是一种独立于主系统的安全芯片,负责密钥的封装与解封。系统启动时,TPM会验证启动环境的完整性,验证通过才会释放密钥解锁操作系统卷。这种软硬件结合的机制,长期以来被视作抵御离线攻击的防线,对于许多企业乃至与政府签约的组织而言,BitLocker更是强制执行的安全基线。
化名为Nightmare-Eclipse的研究员本周早些时候公开了YellowKey的细节。据该研究员披露,这个漏洞能够稳定地绕过Windows 11的默认BitLocker部署。它不需要寻找TPM固件的漏洞,也不需要复杂的硬件级总线嗅探,核心仅仅是一个定制的FsTx文件夹。
事务性NTFS留下的隐患
FsTx文件夹在公开文档中极为罕见,追踪其线索,最终指向了系统文件fstx.dll。这个动态链接库关联着微软一项被称为事务性NTFS(Transactional NTFS,简称TxF)的技术。TxF引入了“事务原子性”的概念,允许开发者将一系列文件操作打包成一个事务。无论是操作单个文件、多个文件,还是跨越多个数据源,事务中的所有操作要么全部成功提交,要么在遇到错误时全部回滚到初始状态,从而确保文件系统数据的一致性。
事务性NTFS最早在Windows Vista时代引入,初衷是为了提升数据库等应用的可靠性,但由于开发复杂且使用率低,微软在后续系统中已将其标记为废弃特性,然而底层代码依然保留。YellowKey的攻击逻辑正是建立在TxF的跨卷操作能力之上。
跨卷操纵如何绕过验证
通过构造特定的FsTx文件夹,攻击者能够让一个磁盘卷去操纵另一个磁盘卷的状态。在BitLocker的解密流程中,这种跨卷的异常事务操作成功干扰了系统的正常验证逻辑。由于TxF允许跨越多个源进行文件操作,且具备高权限的执行级别,攻击者利用系统自身的合法机制,绕过了TPM设定的安全边界,直接获取了加密卷的访问权。
这就好比在两间互不相通的房间之间,利用一条原本用于内部物资调度的传送带,将一个房间的钥匙送到了另一个房间。TxF作为系统自带的合法机制,在执行跨卷事务时并未受到BitLocker的有效拦截,这是默认配置下的重大疏漏。
虽然YellowKey要求攻击者必须具备物理接触目标设备的前提,但这并未削弱其威胁性。在设备遗失、被盗或送修的场景下,依赖默认BitLocker配置的Windows 11设备将面临极大风险。目前微软尚未对此漏洞发布修复补丁。对于安全要求较高的组织来说,除了等待官方更新,更应审视当前的BitLocker策略,例如将TPM与PIN码或USB密钥双重认证结合,而非单纯依赖默认配置,以此增加物理接触攻击的门槛。