オンラインで出回っているゼロデイ エクスプロイトにより、Windows 11 システムに物理的にアクセスできるユーザーは、BitLocker のデフォルトの保護をバイパスし、暗号化されたドライブに数秒でフル アクセスできるようになります。
YellowKeyと呼ばれるこのエクスプロイトは、Nightmare-Eclipseという別名を持つ研究者によって今週初めに公開された。これは、Microsoft のフルボリューム暗号化保護である BitLocker の Windows 11 のデフォルト実装を確実にバイパスし、トラステッド プラットフォーム モジュール (TPM) として知られる安全なハードウェアに保存されている復号キーがなければ、ディスクの内容を誰にもアクセスできないようにします。 BitLocker は、政府と契約している組織を含む多くの組織にとって必須の保護です。
あるディスク ボリュームが別のディスク ボリュームを操作するとき
YellowKey エクスプロイトの中核は、カスタム作成された FsTx フォルダーです。このフォルダーに関するオンライン ドキュメントを見つけるのは困難です。後で説明するように、fstx.dll ファイルに関連付けられたディレクトリには、Microsoft がトランザクション NTFS と呼ぶものが含まれているようです。これにより、開発者は、単一ファイル、複数ファイル、または複数ソース トランザクションでのファイル操作の「トランザクション アトミック性」を得ることができます。
バイパスを実行する手順は簡単です。
- Nightmare-Eclipse エクスプロイト ページからカスタム FsTx フォルダーを NTFS または FAT フォーマットの USB ドライブにコピーします。
- USB ドライブを BitLocker で保護されたデバイスに接続します
- デバイスを起動し、すぐにボタンを押し続けます [Ctrl] 鍵
- Windows リカバリに入る
3 番目のステップを実行するには、少なくとも 2 つの方法があります。 1 つの方法は、Windows を起動し、ボタンを押したままにすることです。 [Shift] キーを押し、電源アイコンをクリックし、再起動をクリックします。もう 1 つは、デバイスの電源をオンにして、Windows の起動が開始したらすぐに再起動することです。
どちらの場合も、コマンド プロンプト (CMD.EXE) が表示されます。この警告にはドライブのすべてのコンテンツに対する完全なアクセス権があり、攻撃者がコンテンツをコピー、変更、または削除できるようになります。通常の Windows 回復フローでは、攻撃者は BitLocker 回復キーを入力する必要があります。どういうわけか、YellowKey エクスプロイトはこの安全装置を回避します。 Kevin Beaumont や Will Dormann を含む数名の研究者は、このエクスプロイトがここで説明されているように機能することを確認しています。
カスタム FsTx フォルダーでのバイパスの原因は不明です。 Dormann 氏は、それ自体が内部でコマンド ログ ファイル システムを使用するトランザクション NTFS に関連しているようだと述べました。 Dormann 氏はさらに、Windows の fstx.dll を調べると、FsTxFindSessions() 関数で \System Volume Information\FsTx を明示的に検索するコードが見つかると指摘しました。
