NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Opublikował szczegóły ataku na BitLocker (czyli windowsowy system szyfrujący dyski). TLDR: mając fizyczny dostęp do komputera, można uzyskać dostęp do zaszyfrowanych plików.
Podatność o ksywce YellowKey wygląda mniej więcej tak:
- Działa na Windows 11 / Windows Server 2022 / 2025 w konfiguracji TPM only
- Wymagany jest fizyczny dostęp do komputera
- Atakujący umieszcza w komputerze wcześniej przygotowanego swojego pendrive (na który wgrywa się kilka plików przygotowanych przez atakującego. Pliczki dostępne są tutaj – ale używajcie ich na własne ryzyko!)
- Atakujący rebootuje Windows w tzw. trybie recovery
- System się restartuje, odpala się automatycznie CMD, gdzie mamy dostęp do plików, które były chronione BitLockerem
Kluczem jak widzicie są te specyficzne pliczki, które trzeba umieścić na swoim “hackerskim” pendrive, a które Windows interpretuje w ten sposób że daje dostęp do danych zabezpieczonych BitLockerem. Co ciekawe, po restarcie, który wspominam powyżej, pliczki z pendrive… znikają. Część osób sugeruje, że przypadłość wygląda jak backdoor, albo przynajmniej jakaś funkcja testowa, której zapomniano wyłączyć na prodzie.
Na razie brak oficjalnej łatki.
Autoreklama. Wbijaj na bezpłatne szkolenie sekuraka o wpadkach OSINT/OPSEC – z tym linkiem bilet z certyfikatem gratis.
~ms
Chciałbym zwrócić uwagę na jeden szczegół jak padł Truecrypt narracja była przejdźcie na BitLockera. Kto i dlaczego zamknął Truecrypt dobrze wiemy więc to wygląda jak celowe działanie i backdor dla sluzb. Nie ma co tu snuc innych domysłów. Gość trafił na coś na co nie powinien. Aż dziw że jeszcze nie zniknął.
> Kto i dlaczego zamknął Truecrypt dobrze wiemy
Ja nie wiem, podziel się wiedzą.
Też nie wiem…
W 100% nie ma pewności ale wliele wskazuję na na Paula Le Roux i jego ludzi.
Nie dowiemy się bo to element śledztwa.
Nikt TrueCrypta nie zamknął. Rozwój został zawieszony, bo policja zgarnęła (z tego, co pamiętam) głównego twórcę i były podejrzenia, że to miało na celu zmuszenie go do oddania jakichś tylnych furtek w kolejnych wersjach. Kolejnych wersji oczywiście nie było, ale sam TC ma się do dziś całkiem dobrze w postaci forka VeraCrypt (z co najmniej 2 zewnętrznymi audytami, więc tam backdoorów najprawdopodobniej niet).
Nie było żadnej wielkiej narracji “trzeba przejść na BitLocker”, tylko zwyczajnie ludzie się w tamtym czasie zastanawiali, czym zastąpić TC w razie czego.
A to nie działa tylko na Bitlocker z automatycznym odblokowaniem przez TPM, a jak mamy PIN czy hasło to ten atak nie zadziała ?
Bo gdzieś mi się odbiło o uszy, że to tylko dotyczy bitlocker bez PIN, samo TPM
Wg tego źródła na tomshardware pin też nic nie daje.
https://www.tomshardware.com/tech-industry/cyber-security/microsoft-bitlocker-protected-drives-can-now-be-opened-with-just-some-files-on-a-usb-stick-yellowkey-zero-day-exploit-demonstrates-an-apparent-backdoor
Czyli co wychodzi na to, że tylko Bitlocker z hasłem kompletnie bez TPM pozostaje bezpieczny ? (nie mylić z PIN)
W artykule jest TPM only ;)
No to pięknie, jeżeli nie będzie szybkiej łatki łatającej jedno, a przy okazji może wprowadzającej inne ;-), wszystkie korporacyjne PBI wymagające szyfrowania dysków mogą trafić do kosza.
Przecież trochę ogarnięty dzieciak to może uruchomić.
Jeśli dobrze zrozumiałem to tylko fizyczna ochrona – zamknąć / zakopać ewentualnie postawić strażnika ;)
Korpo lapka raczej nie dasz rady odpalisz w trybie recovery.
CERT o tym też napisał (podobno jest też wersja na TPM z PIN):
https://cert.orange.pl/cyber-threat-intelligence/krajobraz-zagrozen-18-05-2026/#vulnerability
Eeee…?
I owszem jest rowniez PoC na TPM+PIN, dzialajacy, tylko jakby mniej publiczny:
“No, TPM+PIN does not help, the issue is still exploitable regardless, I asked myself this question, can it still work in a TPM+PIN environment ? Yes it does, I’m just not publishing the PoC, I think what’s out there is already bad enough.” – zrodelko, jakby sie komus Gugiel zacial: https://deadeclipse666.blogspot.com/2026/05/were-doing-silent-patches-now-huh-also.html
Zawsze Seuritum moze podpisac NDC i poprosic znalazce backdoora o probke, nie?
Tak, ale autor nie ma podstaw by przekazać ot tak, jak sam napisał zresztą już jest “bad enough”, a to wtedy pozostaje jako niezweryfikowane słowo :-)
Tomek, ale tego… bo wiesz: cala gunwoburza zaczela sie od tego ze M$ mu nie uznal podatnosci i zaczal ze to niezweryfikowane jest… ja bym sie zastanowil zanim bym o nim napisal: “nezweryfikowane” ;-)
Jeżeli TPM wymaga PIN-u, a rzekomy exploit potrafi odzyskać klucz, to znaczy, że pozyskuje go nie z TPM-a, tylko leży on sobie gdzieś na dysku (tak jak ma to miejsce podczas tzw. „wstrzymania szyfrowania”). W takim przypadku jest to ewidentny backdoor i Microsoft by się z tego nie wytłumaczył. Skoro odkrywca podatności jest takim zajadłym wrogiem Microsoftu, to czemu tego nie ujawni?
korporacyjne zazwyczaj maja preboot wlaczony i wymagaja pinu/hasla wiec nie dotyczy :)
W okolicy roku 2000 gdy dostałem pierwszy PC, rodzice chcieli założyć mi hasło logowania. Sprowadzili nawet informatyka żeby to zrobił. Jakie było jego zdziwienie gdy pokazałem że w oknie logowania do windowsa wystarczy wcisnąć ctrl-alt-del by przejść dalej.
Widzę że MS nadal w formie. To jest to deklarowane poprawianie jakości? To jest w stanie zrobić każdy kto tylko wie co to ten tryb recovery. Jeżeli to prawda to jesteśmy ugotowani. Żenujące. Nawet zabezpieczenia nie potrafią zrobić bezpiecznie. Powiem więcej, MS w Windows 11 po aktualizacji MS teams nie potrafi nawet poprawnie uruchomić MS teams w autostradzie w tle. Po zaznaczeniu obu opcji po stracie systemu teams sie nie uruchamia obok zegarka. I najlepsze ze problem był rozwiązany na jakiś czas i znowu powrócił. Patrząc na ostatni rok już dawno nie widzialwm tyłu baboli. A najlepsze jest ze po włączeniu wykrywania sieci i wejściu w zasób Sieć w eksploratorze, zawiesza mi się eksplorator. Na kilku kompach w domu. Wyłączę ta opcje i po restarcie eksploratora można juz klikać Sieć, która oczywiście po tym jest pusta i pojawia się komunikat żeby włączyć. 🤮🤮🤮🤮🤢🤢🤢🤮🤮🤮
No i co teraz z tak zaszyfrowanymi laptopami w kontekście RODO? Dotychczas zgubiony zaszyfrowany był ‘małym’ problemem z uwagi na szyfrowanie, aż wtem…
Z małego problemu robi się wielki. Gremialne przejście na inne narzędzie szyfrujące (do czasu aż w nim tez coś znajdą), czy co… Jak rzyć panie, jak żyć.
Czy ktoś weryfikował tezę że wyjęcie dysku twardego który jest zaszyfrowany bitlockerem i wsadzenie go do innego sprzętu bez blokad biosowych umożliwiło też wykonanie exploitu?
Inny sprzęt będzie miał innego TPM-a (z innymi kluczami w sobie), więc to nie zadziała.
Na innym fizycznym sprzęcie masz inny moduł TPM, który przechowuje inne klucze, niż moduł oryginalny. Odpalenie exploita nic Ci nie da, bo dysk się nie odszyfruje i tak.
Autorze! Potrafisz deklinować rzeczowniki i przymiotniki? “Atakujący umieszcza w komputerze wcześniej przygotowanego swojego pendrive’ -> “Atakujący umieszcza w komputerze wcześniej przygotowany swój pendrive” bo biernik (kogo?, co), a nie dopelniacz (kogo, czego). Przecież to nawet nie wiadomo o co chodzi… (bo “w komputerze pendriva” – pendrive ma komputer?). Jakbyś byl konsekwentny, to byś dalej napisał “na który wgrywa się kilku plików” (tez dopelniacz). Prawda, że bez sensu brzmi?
Przekazałem do autora, dzięki :-)
Naiwniacy będą w swoich firmach generować botnety?
Te magiczne pliki trzeba wgrać na kompa odblokowanego, jak rozumiem? Jeśli tak, to cóż – blokować komputer przy wychodzeniu do toalety, wyłączać przy wyjściu z pracy, kupić antywirusa z firewallem i powinno być ok.
Otwiera wam się strona na git hubie?
Taka ciekawostka, zdjęli mu projekt z githuba. Nawet z Wayback Machine zniknęły snapshoty (którego wg Reddita były jeszcze niedawno dostępne). Ale prawda taka, że w Internecie nic nie ginie, szczególnie mirrory gita ;)
Jednak ostatni komunikat z zaleceniem na przesiadkę na BitLockera i sianie plotek o tym że Truecrypt nie jest już bezpieczny wygląda jak celowe działanie sluzb które postanowiły coś jeszcze ugrać, dlatego zamknięcie Truecrypt będzie owiane tajemnica na zawsze.
Ale w połączeniu z YellowKey obraz zaczyna się kształtować nieco inaczej prawda?
Wierzycie w przypadki? Ja nie.
repo na GH już usunięte xD
Gdzie te pliki? Już miałem nadzieję, że odblokuję swój dysk.
Pliki sa gdzies jeszcze dostępne?
Ja pobrałem.
Autor przeszedł na gitlaba i udostępnia tam kod nie tylko dla tej podatności. Generalnie wygląda na całkiem interesującą wojenkę z Microsoftem.