Windows 11:n oletuksena käyttämä BitLocker-salaus on joutunut vakavan nollapäivähyökkäyksen kohteeksi. YellowKey-niminen exploit ei murra itse salausta, vaan ohittaa koko palautusmekanismin ja avaa hyökkääjälle täyden pääsyn levyn sisältöön sekunneissa. Microsoft kertoo tutkivansa asiaa, mutta korjausta ei toistaiseksi ole julkaistu.
Hyökkäys toimii koneissa, joissa BitLocker käyttää Microsoftin oletusasetusta eli niin sanottua TPM-only-konfiguraatiota. Siinä salausavain haetaan automaattisesti TPM-turvapiiriltä ilman käyttäjän PIN-koodia tai muuta lisätunnistusta.
Teknisesti kiinnostavin yksityiskohta liittyy Windowsin vanhaan Transactional NTFS- eli TxF/FsTx-mekanismiin. Hyökkäyksessä USB-tikulle kopioidaan erityinen FsTx-kansio, jonka jälkeen kone käynnistetään Windows Recovery -tilaan.
Normaalisti palautusympäristö pyytää BitLocker-palautusavainta ennen levyn avaamista. YellowKey-hyökkäyksessä palautusprosessi kuitenkin ohjautuu komentokehotteeseen, jolla hyökkääjä saa täydet oikeudet koko levyn sisältöön.
Tietoturvatutkijoiden mukaan exploit näyttää pystyvän manipuloimaan Windows Recovery Environmentin tiedostoja USB-tikulta käsin. Tämä on herättänyt erityistä huolta, koska yhden levyn FsTx-data näyttää vaikuttavan toisen levyn sisältöön.
Tharros Labsin haavoittuvuusasiantuntija Will Dormann huomauttaa, että hyökkäyksen vakavin osa ei välttämättä ole itse BitLocker-ohitus, vaan tapa, jolla Transactional NTFS kykenee muuttamaan toisen volyymin tiedostoja palautusvaiheessa.
Kyse ei siis ole kryptografian murtamisesta. TPM suojaa edelleen salausavainta suunnitellusti. Ongelma syntyy siitä, että Windows luottaa palautusympäristössään liikaa paikallisesti saatavilla olevaan dataan ja käynnistysprosessiin.
Hyökkäys edellyttää fyysistä pääsyä koneeseen. Käytännössä tämä tarkoittaa, että varastettu tai hetkeksikin valvomatta jäänyt kannettava voidaan avata ilman BitLocker-palautusavainta, jos käytössä on Microsoftin oletusasetukset.
Useat tietoturva-asiantuntijat ovat jo pitkään pitäneet TPM-only-suojausta riittämättömänä juuri tällaisia hyökkäyksiä vastaan. Suositeltu ratkaisu on ottaa käyttöön pre-boot PIN, jolloin TPM ei luovuta salausavainta ilman käyttäjän syöttämää tunnistetta.
