Egy pendrive-val nyitható a Microsoft bombabiztos meghajtótitkosítása
Rendkívül súlyos sebezhetőséget publikáltak a héten kutatók a Microsoft Windows 11 és két szerver operációs rendszerénél alkalmazott meghajtótitkosítási rutint illetően. Az esetet súlyosbítja, hogy a BitLocker-védelem nyitásához elég egy pendrive és minimális háttérismeret.
Súlyos sebezhetőséget publikáltak két nappal ezelőtt a Microsoft meghajtótitkosítási megoldását, a BitLockert érintően, mellyel viszonylag könnyen, minimális háttérismeret birtokában hozzá lehet férni egy PC titkosított háttértárának tartalmához. A sérülékenység létezését - és kihasználásának módját - azután publikálta a GitHub-on egy korábban több windowsos sebezhetőséget is felfedező kutató, hogy a Microsoft biztonsági csapata többször elutasította jelentéseit vagy válaszra sem méltatta őt.
A titkosított háttértár feltöréséhez először is fizikailag birtokolni kell az adott számítógépet, melyet a publikált fájlokat egy USB-s pendrive-ra másolva Windows helyreállítási környezetbe kell elindítani. A folyamat során egy billentyűkombinációt nyomva tartva a rendszer nem kér sem jelszót sem helyreállítási kulcsot, hanem közvetlenül egy emelt szintű parancssort nyit meg, melyen keresztül a titkosított fájlok korlátlanul hozzáférhetők.
Az IT munkaerőpiac kilábalása állandó délibáb lett Túl sok, számos esetben ellentétes hatás éri az IT munkaerőpiacot, a kínálati piac a béreket, a költséges AI pedig a headcountot eszi.
A YellowKey nevű támadási módszer egy az NTFS naplófájlok kezelésében rejlő hibát használ ki, illetve törli a helyreállítási környezet indításáért felelős winpeshl.ini fájlt, melynek következményeként a rendszer a helyreállítási felület betöltése helyett egy parancssort jelenít meg - miközben a meghajtó titkosítása továbbra is fel van oldva.
Biztonsági kutatók szerint a módszer annyira banális és kézenfekvő, hogy működési elve alapján akár szándékosan elhelyezett hátsó kapu is lehet, mindenesetre az bizonyos, hogy jelentősen rombolja a bizalmat a Microsoft korábban bombabiztosnak tekintett meghajtótitkosítási módszerével kapcsolatban.
Fontos kiemelni, hogy a meghajtótikosítás publikált feltörési módszere csak Windows 11 és Windows Server 2022 és 2025 környezetben működik, a meghajtó tartalma pedig csak abban az eszközben fejthető vissza, melynek biztonsági chipje (TPM) az adott meghajtó kulcsait tartalmazza. Szintén lényeges szempont, hogy a módszer nem működik abban az esetben sem, ha a bootolási szakaszban a számítógép PIN-t kér - a sebezhetőséget publikáló kutató azonban állítja, hogy ennek a védelemnek a kikerülésére is létezik módszer.
Bár a BitLocker megkerülésére korábban több megoldás is napvilágot látott, ám egyik sem volt olyan banális, mint a YellowKey. Mindegyik módszerrel szembeni védekezésben közös, hogy a TPM + PIN kombináció használatával jelentős mértékben csökkenthető a sikeres támadások esélye.