Un exploit de día cero que circula en línea permite a las personas con acceso físico a un sistema Windows 11 evitar la protección predeterminada de BitLocker y obtener acceso completo a una unidad cifrada en segundos.
El exploit, llamado YellowKey, es publicado a principios de esta semana por un investigador que utiliza el seudónimo Nightmare-Eclipse. Esto evita de manera confiable la implementación predeterminada de BitLocker de Windows 11, una protección de cifrado de volumen completo que Microsoft proporciona para que el contenido del disco esté fuera del alcance de cualquier persona sin una clave de descifrado, que se almacena en un hardware seguro conocido como módulo de plataforma confiable (TPM). BitLocker es una protección obligatoria para muchas organizaciones, incluidas aquellas que tienen contratos con el gobierno.
Cuando un volumen de disco manipula otro volumen de disco
En el corazón del exploit YellowKey se encuentra una carpeta FsTx especialmente creada. Es difícil encontrar documentación en línea para esta carpeta. Como se explica más adelante, el directorio asociado con el archivo fstx.dll parece involucrar lo que Microsoft llama un NTFS transaccionallo que permite a los desarrolladores tener “atomicidad transaccional” para operaciones de archivos en transacciones con un solo archivo, varios archivos o archivos que abarcan múltiples fuentes.
Los pasos para realizar un bypass son sencillos:
- Copie la carpeta FsTx personalizada de la página del exploit Nightmare-Eclipse a una unidad USB formateada en NTFS o FAT
- Conecte la unidad USB a un dispositivo protegido con BitLocker
- Inicie el dispositivo e inmediatamente presione y mantenga presionada la tecla (Ctrl).
- Ingrese a la recuperación de Windows
Hay al menos dos maneras de llegar al tercer paso. Una forma es iniciar Windows, mantener presionada la tecla (Shift), hacer clic en el ícono de encendido y hacer clic en reiniciar. Otra forma es encender el dispositivo y reiniciarlo tan pronto como Windows comience a iniciarse.
En ambos casos, aparecerá un símbolo del sistema (CMD.EXE). Prompt tiene acceso completo a todo el contenido de la unidad, lo que permite a los atacantes copiarlo, modificarlo o eliminarlo. En el flujo normal de recuperación de Windows, el atacante debe ingresar la clave de recuperación de BitLocker. De alguna manera, el exploit YellowKey elude esta protección. Muchos investigadores, incluidos Kevin Beaumont Y Will Dormanhan confirmado que el exploit funciona como se describe aquí.
No está claro qué hay en la carpeta FsTx específica que está causando la omisión. Dormann dijo que esto parece estar relacionado con el NTFS transaccional que él mismo usa. sistema de archivos de registro de comandos debajo de la tienda. Dormann señala además que al observar el archivo fstx.dll de Windows, se verá un código que busca explícitamente \System Volume Information\FsTx en la función FsTxFindSessions()”.
