只要能物理接触到一台运行Windows 11的电脑,几秒钟就能获取其加密硬盘的完全控制权。这并非推测,而是本周曝光的零日漏洞带来的真实威胁。据安全研究报告披露,一个名为YellowKey的漏洞利用代码已在网络上公开,该漏洞能稳定绕过Windows 11默认部署的BitLocker防护,让攻击者在极短时间内获取加密驱动器的完整访问权限。
这个漏洞由化名为Nightmare-Eclipse的安全研究员发布。BitLocker作为微软的全卷加密机制,其设计初衷是确保磁盘内容对任何没有解密密钥的人不可见。解密密钥通常存储在受信任的平台模块(TPM,Trusted Platform Module)中,这是一种独立于主系统的安全芯片。对于许多企业,特别是与政府有合作关系的承包商而言,BitLocker是强制性的安全基线。然而,YellowKey的出现直接击穿了这一默认防线。
FsTx文件夹与事务性NTFS
漏洞的核心在于一个名为FsTx的自定义文件夹。目前网络上关于FsTx的文档极为稀缺,但顺着其关联的系统文件fstx.dll追溯,可以发现它涉及微软的一项底层机制——事务性NTFS(Transactional NTFS,简称TxF)。TxF允许开发者在处理涉及单个文件、多个文件或跨多个数据源的文件操作时,实现“事务原子性”。事务原子性就像银行的转账操作,要么全盘成功,要么完全撤销,不存在扣款成功而对方未到账的中间状态。
YellowKey正是利用了一个磁盘卷对另一个磁盘卷进行操纵时,TxF处理逻辑存在的缺陷。当攻击者通过特定方式在FsTx目录下触发跨卷的事务性操作时,系统默认的隔离边界出现了混乱,BitLocker的锁定状态因此被绕过。
微软在Windows Vista时代引入了TxF,但随后在Windows 8及后续版本中明确建议开发者弃用该功能,因为其复杂性和潜在的兼容性问题。然而,出于向后兼容的考虑,TxF的底层组件依然留在系统中。这种历史遗留代码往往成为安全防御的盲区。
物理接触与默认配置的脆弱性
尽管BitLocker提供了强大的加密能力,但其安全性高度依赖于部署配置。Windows 11的默认BitLocker部署通常采用仅TPM模式,即只要硬件自检通过,系统就会自动释放密钥并启动,无需用户额外输入PIN码或插入USB密钥。这种配置在易用性和安全性之间做了妥协,也恰恰是YellowKey能够成功的前提。
据此前的研究数据显示,仅依赖TPM的BitLocker配置在面对物理攻击时本就存在先天不足。攻击者只要能短暂接触设备,就能通过硬件级别的DMA攻击或此次的YellowKey漏洞,在几秒内突破防线。如果企业启用了TPM+PIN模式,即便攻击者掌握了FsTx的利用方式,也会在预启动身份验证阶段被拦截。
目前,微软尚未针对YellowKey发布安全更新。对于安全团队而言,当务之急是重新审视当前的BitLocker部署策略,将仅依赖TPM的默认配置升级为要求预启动认证的增强模式,并严格限制对关键设备的物理访问权限。在底层历史代码无法彻底清除的当下,补齐配置层面的短板,是抵御此类零日攻击最务实的手段。