Microsoft виправляє критичну вразливість BitLocker у Windows 11, яку експлуатували через USB-накопичувач

Microsoft реагує на критичну вразливість BitLocker у Windows 11

Microsoft поділилася заходами щодо пом’якшення критичної вразливості BitLocker у Windows 11, яка дозволяє зловмисникам обходити шифрування за допомогою звичайного USB-накопичувача.

«Не можу придумати пояснення, окрім того, що це було зроблено навмисно. Також з невідомої причини уражені лише Windows 11 (плюс Server 2022/2025), а Windows 10 — ні», — пояснив дослідник безпеки Chaotic Eclipse (більш відомий як Nightmare-Eclipse) після того, як їм вдалося обійти складну функцію безпеки BitLocker у Windows 11 за допомогою USB-накопичувача.

Дослідник опублікував експлойт нульового дня під назвою YellowKey, який фактично дозволив отримати доступ до заблокованого файлу. Як пояснили наші колеги з Tom’s Hardware:

«Процес дуже простий: візьміть будь-який USB-накопичувач, отримайте права на запис до «System Volume Information» і скопіюйте туди папку «FsTx» з її вмістом. Натисніть «Shift+Restart», щоб перейти до середовища відновлення Windows, але потім продовжуйте утримувати клавішу Control. Комп’ютер перезавантажиться і, не ставлячи запитань і не відображаючи меню, запустить вас у підвищений командний рядок з повним доступом до раніше зашифрованого диска BitLocker, не вимагаючи жодних ключів».

Eclipse зазначив, що «міг би заробити божевільні гроші, продаючи це, але жодна сума грошей не стане між мною та моєю рішучістю проти Microsoft». Раніше цього тижня технологічний гігант повідомив, що відстежує експлойт нульового дня YellowKey під номером CVE-2026-45585, і надав заходи для запобігання несанкціонованому доступу зловмисників до захищених дисків (через Bleeping Computer).

Компанія зазначає, що надані нею заходи пом’якшення можуть бути реалізовані як запобіжник проти вразливості до моменту випуску оновлення безпеки. Процес включатиме видалення запису autofstx.exe зі значення REG_MULTI_SZ BootExecute у Session Manager.

Відповідно, вам потрібно буде відновити довіру BitLocker до WinRE, дотримуючись процедури, описаної в розділі «Заходи пом’якшення». Тим часом Microsoft рекомендує змінити конфігурацію BitLocker на зашифрованих пристроях з режиму TPM-only на режим TPM+PIN, використовуючи PowerShell, командний рядок або панель керування. Ця зміна вимагатиме введення PIN-коду перед завантаженням для розшифрування диска під час запуску та, як очікується, заблокує атаки YellowKey.

Приєднуйтесь до нас у Reddit на r/WindowsCentral, щоб поділитися своїми думками та обговорити наші останні новини, огляди тощо.

Що це означає для користувачів: Користувачам Windows 11, які використовують BitLocker для захисту своїх даних, слід негайно застосувати рекомендовані Microsoft заходи. Це включає оновлення налаштувань BitLocker до режиму TPM+PIN та, за можливості, видалення запису autofstx.exe. Ці кроки допоможуть захистити ваші дані від потенційних атак, доки Microsoft не випустить повне оновлення безпеки. Користувачі Windows 10 наразі не піддаються ризику цієї конкретної вразливості.

Подробиці можна знайти на сайті: www.windowscentral.com