Je BitLocker k ničemu? Výzkumník tvrdí, že do něj Microsoft zabudoval zadní vrátka a vydal exploit YellowKey

Co je BitLocker a proč na něm záleží

BitLocker je nástroj pro šifrování celého disku, který Microsoft integroval do systémů Windows. Jeho úloha je jednoduchá: pokud vám někdo ukradne notebook nebo pevný disk, data na něm zůstanou nečitelná. Šifrování probíhá na pozadí, automaticky, a uživatel si ho za normálních okolností ani nevšimne.

Hlavním prvkem je čip TPM (Trusted Platform Module), který je dnes standardní součástí moderních počítačů. TPM uchovává šifrovací klíče a při startu systému ověřuje, že hardware nebyl pozměněn. Pokud vše sedí, disk se odemkne automaticky. 

Pokud ne, například při pokusu o spuštění z jiného zařízení, disk zůstane zašifrovaný a data jsou nedostupná. BitLocker je povinnou součástí bezpečnostní politiky mnoha firem, státních institucí a organizací pracujících s citlivými daty. Právě proto je zpráva o jeho prolomení tak závažná.

YellowKey: USB flash disk jako klíč ke všemu

V polovině letošního května výzkumník vystupující pod přezdívkami Nightmare-Eclipse a Chaotic Eclipse na GitHubu exploit nazvaný YellowKey. Útok cílí na Windows 11 a Windows Server 2022 a 2025, přičemž Windows 10 zůstávají podle dostupných informací nedotčeny.

Postup útoku je překvapivě jednoduchý. Útočník si z GitHubu stáhne složku FsTx a zkopíruje ji na USB flash disk do adresáře System Volume Information. Flash disk připojí k cílovému počítači s aktivním BitLockerem, restartuje jej do prostředí Windows Recovery Environment (WinRE) a po celou dobu restartu drží stisknutou klávesu Ctrl. 

Pokud vše proběhne správně, místo obnovovacího prostředí se otevře příkazový řádek s plným přístupem k obsahu šifrovaného disku. Žádné heslo, žádný PIN, žádný šifrovací klíč. Data jsou volně dostupná.

Exploit navíc nevyžaduje nutně flash disk. Pokud má útočník fyzický přístup k disku, může soubory FsTx zkopírovat přímo do EFI systémového oddílu, disk vrátit do počítače a útok provést stejným způsobem.

Jak exploit technicky funguje?

Technická analýza, kterou provedl bezpečnostní analytik Will Dormann, ukazuje, že exploit zneužívá mechanismus transakčního NTFS, konkrétně způsob, jakým Windows Recovery Environment nakládá s logovacími záznamy souborového systému.

Klíčový je soubor winpeshl.ini, který říká prostředí WinRE, co má při startu spustit. Normálně se z tohoto souboru načte prostředí pro obnovení Windows. YellowKey ale dokáže prostřednictvím transakčních NTFS záznamů na USB disku smazat tento soubor na jiném svazku. Výsledkem je, že namísto prostředí pro obnovení se spustí příkazový řádek, a to v momentě, kdy je BitLockerem chráněný disk již automaticky odemčen.

Dormann k tomu poznamenal, že schopnost adresáře FsTx na jednom svazku ovlivnit obsah jiného svazku je sama o sobě závažnou bezpečnostní chybou, a to nezávisle na celém scénáři s BitLockerem.

Záměrná zadní vrátka, nebo jen chyba?

Nejkontroverznější část celého případu je tvrzení výzkumníka o záměru. Nightmare-Eclipse uvádí, že komponenta, která exploit umožňuje, se nevyskytuje nikde jinde než uvnitř obrazu WinRE. Přitom tatáž komponenta, pod stejným názvem, existuje i v běžné instalaci Windows, ale tam požadované chování nevykazuje.

Proč by taková komponenta existovala ve dvou verzích, z nichž jedna se chová nebezpečně, nedokáže výzkumník vysvětlit jinak než záměrem. Podle něj nejde o naivní chybu, ale o vědomé rozhodnutí. Toto tvrzení nelze na základě dostupných informací ani potvrdit, ani vyvrátit. Bezpečnostní odborníci, kteří exploit testovali, označili samotné prolomení za reálné a funkční, ale k závěru o záměrném backdooru se staví zdrženlivě.

Kdo za vším stojí?

Nightmare-Eclipse není v bezpečnostním světě nováčkem. Dříve vystupoval pod přezdívkou Chaotic Eclipse a v posledních měsících zveřejnil několik kritických zranitelností Windows, vždy ve spojení s obviněními vůči Microsoftu. Předchozí exploity BlueHammer a RedSun se týkaly eskalace oprávnění přes Windows Defender a byly také zneužity skutečnými útočníky.

Podle dostupných informací se jedná o výzkumníka, který se s Microsoftem dostal do vážného sporu ohledně nakládání s nahlášenými bezpečnostními chybami. Každé zveřejnění exploitu doprovází textový příspěvek s podrobným popisem křivd. 
Microsoft se k věci vyjádřil pouze obecně s tím, že problém prošetřuje a podporuje koordinované zveřejňování zranitelností. Žádná záplata ani CVE identifikátor zatím přiřazeny nebyly.

Situaci komplikuje fakt, že chyba se nenachází v hlavním operačním systému, ale v obrazu WinRE. Aktualizace obnovovacího oddílu jsou technicky složitější a mají horší historii úspěšného nasazení než běžné kumulativní aktualizace.

Co mohou uživatelé dělat?

Dokud Microsoft nevydá záplatu, možnosti jsou omezené. Přechod na konfiguraci TPM+PIN zní jako logický krok. Výzkumník ale tvrdí, že i tato varianta je zranitelná, přičemž daný exploit zatím nezveřejnil. Nicméně toto tvrzení dosud nikdo nezávisle neověřil.

Nejspolehlivějším opatřením je v tuto chvíli fyzická ochrana zařízení, protože útok vyžaduje fyzický přístup k počítači. Pro citlivá prostředí bezpečnostní odborníci doporučují zvážit alternativní šifrovací nástroje, jako je VeraCrypt, a zařízení chráněná jen výchozím BitLockerem v režimu TPM-only prozatím považovat v podstatě za nešifrovaná.

Zdroj: GitHub YellowKey, Techspot, Bitdefender, The Hacker News, ArsTechnica