Centrum Microsoft Security Response Center vydalo núdzové opatrenie pre novo odhladenú zraniteľnosť BitLockeru známu ako „YellowKey“, po tom, čo bezpečnostní výskumníci zverejnili funkčný exploit schopný obísť ochranu šifrovania diskov vo Windowse.
Chyba, oficiálne sledovaná ako CVE-2026-45585, sa týka viacerých moderných verzií Windows a Windows Server a prehĺbila obavy komunity kybernetickej bezpečnosti ohľadom zabezpečenia nasadení šifrovania s použitím iba TPM.
Hoci Microsoft zatiaľ nevydal úplnú bezpečnostnú záplatu, spoločnosť v utorok potvrdila, že aktívne pracuje na znížení rizík zneužitia po tom, čo výskumníci zverejnili technické detaily a návod na útok.
Zraniteľnosť má skóre závažnosti CVSS 6,8 a bola klasifikovaná ako „obídenie bezpečnostnej funkcie“, čo znamená, že útočníci môžu obísť zabudované ochrany bez toho, aby museli zneužívať chyby vzdialeného spustenia kódu alebo eskalácie oprávnení.
Čo je YellowKey?
YellowKey verejne zverejnil nezávislý bezpečnostný výskumník Chaotic Eclipse, ktorý publikoval technické zistenia a ukážky exploitu demonštrujúce, ako je možné získať prístup k systémom zašifrovaným BitLockerom počas zavádzania v prostredí Windows Recovery Environment (WinRE).
Útok zneužíva vzťah dôvery vo vnútri pracovného postupu obnovy Windows tým, že na USB disk alebo EFI oddiel umiestni špeciálne upravené súbory „FsTx“. Po vložení do zraniteľného zariadenia môže útočník reštartovať zariadenie do WinRE a spustiť neobmedzený príkazový shell počas procesu obnovy.
Exploit údajne uspeje podržaním klávesu CTRL v konkrétnom momente počas inicializácie obnovy, čo spôsobí, že systém spustí shell so zvýšenými oprávneniami a neobmedzeným prístupom k zašifrovanému zväzku.
Vo svojom technickom rozbore výskumník uviedol: „Ak ste všetko urobili správne, spustí sa shell s neobmedzeným prístupom k zväzku chránenému BitLockerom.“
Zraniteľnosť efektívne narúša jeden zo základných predpokladov BitLockeru: že operácie obnovy pred spustením systému možno považovať za dôveryhodné ešte pred úplným vynútením autentifikácie.
Microsoft potvrdzuje dostupnosť verejného exploitu
V poradenstve zverejnenom v utorok Microsoft uznal, že kód exploitu pre YellowKey je už verejne dostupný, čo zvyšuje pravdepodobnosť jeho zneužitia v praxi.
„Microsoft si je vedomý zraniteľnosti obchádzajúcej bezpečnostnú funkciu vo Windowse, verejne označovanej ako ‚YellowKey‘,“ uviedla spoločnosť. „Dôkaz konceptu pre túto zraniteľnosť bol zverejnený, čím boli porušené osvedčené postupy koordinovaného zverejňovania zraniteľností.“
Spoločnosť sa zdržala potvrdenia aktívneho zneužívania v praxi, ale varovala, že útočníci s fyzickým prístupom k cieľovým systémom by mohli potenciálne obísť ochranu šifrovania zariadení BitLocker a získať prístup k citlivým údajom uloženým na šifrovaných diskoch.
Zverejnenie znovu roznietilo dlhodobé obavy odvetvia ohľadom útokov zameraných na scenáre fyzického prístupu, najmä v prípade laptopov, podnikových zariadení, vládnych systémov a zariadení stratených alebo odcudzených počas cestovania.
Potvrdené zraniteľné systémy
Microsoft uviedol, že chyba sa týka týchto operačných systémov:
- Windows 11 verzia 24H2 pre systémy x64
- Windows 11 verzia 25H2 pre systémy x64
- Windows 11 verzia 26H1 pre systémy x64
- Windows Server 2025
- Inštalácie Windows Server 2025 Server Core
Obzvlášť ohrozené sú organizácie spoliehajúce sa na autentifikáciu BitLockeru iba pomocou TPM.
Prečo sa odborníci na bezpečnosť obávajú
Na rozdiel od tradičných malvérových útokov vyžadujúcich phishingové e-maily, škodlivé stiahnutia alebo sieťové kompromitovanie, YellowKey funguje výlučne prostredníctvom fyzického prístupu a manipulácie pred spustením systému.
Útok je obzvlášť nebezpečný, pretože obchádza šifrovanie bez potreby prihlasovacích údajov alebo administrátorského prístupu. Na prelomenie šifrovania YellowKey zneužíva predpoklad dôvery v rozhraní obnovy, čo útočníkom umožňuje spustiť neobmedzený shell s plným prístupom k zašifrovanému zväzku počas sekvencie obnovy pred spustením systému.
Jednoduchosť exploitu výrazne zvyšuje jeho potenciálny dopad — YellowKey nevyžaduje inštaláciu softvéru, existujúce prihlasovacie údaje ani sieťový prístup. Akýkoľvek počítač s USB portom, ktorý možno reštartovať, sa môže stať terčom.
Zraniteľnosť by mohla byť obzvlášť problematická pre:
- Firemné laptopy
- Vládne zariadenia
- Zdieľané pracovné stanice
- Cestujúcich prechádzajúcich hraničnou kontrolou
- Systémy obnovy v dátových centrách
- Stratené alebo odcudzené zariadenia
Útok tiež poukazuje na rastúcu kategóriu útokov „zlej slúžky“ — scenárov, v ktorých protivníci na krátky čas získajú fyzický prístup k zariadeniu a manipulujú so spúšťacím prostredím alebo firmvérom.
Výskumníci poukazujú na slabinu v modeli dôvery WinRE
Bezpečnostný výskumník Will Dormann vysvetlil, že YellowKey zneužíva spôsob, akým Windows Recovery Environment automaticky spúšťa nástroj FsTx Auto Recovery Utility, známy ako autofstx.exe.
Podľa Dormanna odporúčané opatrenie od Microsoftu zakáže toto automatické správanie obnovy a zabráni operáciám prehrania transakčného NTFS, ktoré umožňujú reťazec útoku.
„Konkrétne zabránite nástroju FsTx Auto Recovery Utility, autofstx.exe, aby sa automaticky spúšťal pri načítaní obrazu WinRE,“ vysvetlil Dormann.
Problém sa zdá byť zakorenený v tom, ako WinRE spracúva skripty obnovy a transakčné súborové operácie pred tým, ako BitLocker plne zabezpečí zväzok. Prostredia obnovy sú v podnikových programoch na posilnenie bezpečnosti často prehliadané napriek tomu, že sú mimoriadne privilegovanými komponentmi operačného systému.
Odporúčané opatrenie Microsoftu
Kým bude vydaná trvalá záplata, Microsoft odporúča správcom manuálne upraviť konfigurácie Windows Recovery Environment. Proces opatrenia zahŕňa:
- Pripojenie obrazu WinRE — Správcovia musia najprv pripojiť obraz obnovy na každom dotknutom zariadení.
- Úprava registra — Systémový register priradený k pripojenému obrazu WinRE musí byť manuálne načítaný.
- Odstránenie autofstx.exe — Microsoft odporúča odstrániť položku autofstx.exe z hodnoty registra BootExecute v časti Session Manager.
- Uloženie a prebudovanie obrazu obnovy — Po úprave registra musia správcovia uložiť zmeny, odpojiť register a znovu potvrdiť upravený obraz WinRE.
- Obnovenie dôvery BitLockeru — Organizácie musia následne znovu nakonfigurovať vzťahy dôvery BitLockeru, aby sa zabezpečilo, že upravené prostredie obnovy bude uznané ako dôveryhodné.
Proces opatrenia si môže vyžadovať starostlivé testovanie pred širším nasadením v podnikových prostrediach, najmä na systémoch využívajúcich prispôsobené oblasti obnovy alebo automatizované pracovné postupy poskytovania.
Šifrovanie iba pomocou TPM pod drobnohľadom
Možno najvýznamnejším aspektom poradenstva Microsoftu je jeho dôrazné odporúčanie, aby organizácie opustili autentifikáciu BitLockeru iba pomocou TPM. Spoločnosť vyzvala používateľov na prechod na konfigurácie TPM+PIN, ktoré vyžadujú zadanie spúšťacieho PINu počas zavádzania okrem overenia TPM.
V režime iba TPM Trusted Platform Module automaticky odomkne zašifrovaný disk počas spúšťania, ak prejdu kontroly integrity systému. Hoci je to pohodlné, táto konfigurácia dlhodobo čelí kritike od bezpečnostných výskumníkov, ktorí tvrdia, že poskytuje nedostatočnú ochranu proti sofistikovaným fyzickým útokom.
Microsoft uviedol, že organizácie môžu povoliť TPM+PIN pomocou PowerShellu, nástrojov príkazového riadka, Microsoft Intune, skupinových politík alebo nastavení ovládacieho panela.
Verejné zverejnenie vyvoláva debatu o zodpovednom výskume
Zverejnenie funkčného kódu exploitu pred dostupnosťou záplaty opäť rozprúdilo debatu o koordinovaných postupoch zverejňovania zraniteľností. Microsoft kritizoval verejné zverejnenie, pričom uviedol, že porušuje „osvedčené postupy koordinovaného zverejňovania zraniteľností.“ Niektorí výskumníci však argumentujú, že verejné zverejnenie tlačí dodávateľov k rýchlejšiemu prijímaniu opatrení a pomáha obrancom presnejšie posúdiť reálnu expozíciu.
Širšie dôsledky pre podnikovú bezpečnosť
Vznik YellowKey zdôrazňuje širšiu realitu, ktorej čelia podnikoví obrancovia: samotné šifrovanie nie vždy postačuje, ak prostredia obnovy a zavádzania zostávajú zraniteľné. Moderné útoky sa čoraz viac zameriavajú na firmvér, komponenty UEFI, oddiely obnovy, zavádzače a pracovné postupy pred autentifikáciou.
Bezpečnostné tímy sú teraz vyzývané, aby:
- Auditovali konfigurácie nasadenia BitLockeru
- Zakázali nepotrebnú funkčnosť obnovy
- Vynucovali politiky TPM+PIN
- Obmedzili prístup zavádzania z USB
- Posilnili nastavenia BIOS/UEFI
- Monitorovali neoprávnené úpravy WinRE
Pre mnohé podniky sa YellowKey môže stať kľúčovou pripomienkou, že fyzický prístup zostáva jedným z najnebezpečnejších vektorov hrozby v modernej kybernetickej bezpečnosti.
Microsoft zatiaľ neoznámil, kedy bude k dispozícii úplná aktualizácia zabezpečenia riešiaca CVE-2026-45585.
Viac informácii:
https://www.linkedin.com/pulse/microsoft-rushes-out-emergency-mitigation-yellowkey-xlyre