פרצת אפס יום מאפשרת לעקוף את BitLocker של Windows 11 בקלות – כך זה עובד

חוקר אבטחה חשף לאחרונה פרצת אפס יום בשם YellowKey, המאפשרת לעקוף את ההגנות המובנות של BitLocker במערכות Windows 11 באמצעות גישה פיזית בלבד. הפירצה מאפשרת להשיג שליטה מלאה בכונן מוצפן תוך שניות ספורות, ללא צורך בסיסמה או מפתח הצפנה.

איך YellowKey עובדת?

הפרצה מתבססת על ניצול של ספריית FsTx מותאמת אישית, המכונה fstx.dll. ספרייה זו קשורה ליכולות של Transactional NTFS של מיקרוסופט, המאפשרת ביצוע פעולות קבצים במסגרת עסקאות עם תמיכה ב"אטומיות" – כלומר, ביצוע פעולות על קבצים מרובים כאילו היו פעולה אחת רציפה.

על פי החוקר Nightmare-Eclipse, שפרסם את הפירצה, ניתן לנצל את הפרצה כדי לבצע מניפולציות בכונן המוצפן מבלי להפעיל את מנגנוני ההגנה של BitLocker. ההליך כולל יצירת תיקייה מותאמת אישית בשם FsTx, אשר מאפשרת גישה ישירה למידע המאוחסן בכונן, תוך עקיפת מנגנוני ההצפנה המובנים.

הסיכון לארגונים ומשתמשים

BitLocker היא תכונת הצפנה מובנית ב-Windows 11, הנחשבת לאחת מאמצעי ההגנה החשובים ביותר עבור ארגונים ממשלתיים ועסקיים. היא נדרשת לעיתים קרובות כתנאי לספקי שירותים שונים, במיוחד בתחומים רגישים כמו ממשל, בריאות ופיננסים.

הפרצה YellowKey מאיימת על ההגנה הזו, שכן היא מאפשרת לגורמים עוינים להשיג גישה לכוננים מוצפנים ללא צורך במפתח הצפנה או בסיסמה. משמעות הדבר היא כי גם אם הכונן מוצפן באמצעות TPM (מודול פלטפורמה מהימן), התוקפים עדיין יכולים לעקוף את ההגנה באמצעות הפירצה.

מי חשוף לפרצה?

הפרצה משפיעה בעיקר על:

• ארגונים המשתמשים ב-BitLocker כחובה;
• משתמשים פרטיים המאחסנים מידע רגיש בכוננים מוצפנים;
• מערכות Windows 11 עם הגדרות BitLocker ברירת מחדל;
• מחשבים עם גישה פיזית בלתי מוגבלת למשתמשים לא מורשים.

מה ניתן לעשות כדי להגן על עצמכם?

מיקרוסופט טרם פרסמה תיקון רשמי לפרצה זו, אך קיימות מספר פעולות שיכולות להפחית את הסיכון:

• הפעלת הגנת Secure Boot – מונעת טעינת קוד זדוני בשלב האתחול;
• שימוש בסיסמה חזקה עבור BitLocker – מקשה על גישה לכונן גם אם הפרצה מנוצלת;
• הגבלת גישה פיזית למחשב – מניעת גישה לא מורשית למכשיר;
• מעקב אחר עדכוני אבטחה – התקנת עדכונים שיפורסמו על ידי מיקרוסופט בהקדם האפשרי;
• שימוש בכלים נוספים להגנה על נתונים – כגון הצפנה נוספת או כלים לניטור גישה לכוננים.

תגובת מיקרוסופט

נכון למועד פרסום כתבה זו, מיקרוסופט טרם הגיבה רשמית לפרצה או פרסמה תיקון רשמי. החברה ממליצה למשתמשים לעקוב אחר עדכוני האבטחה שלה ולהפעיל את ההגנות המובנות במערכת ההפעלה.

"אנו מודעים לדיווחים על פרצות אבטחה חדשות ובודקים אותם באופן שוטף. אנו ממליצים למשתמשים לעדכן את מערכותיהם ולנקוט באמצעי הגנה נוספים ככל שניתן."

דובר מיקרוסופט

סיכום ומסקנות

פרצת YellowKey מהווה איום משמעותי על ההגנות של BitLocker ב-Windows 11, במיוחד עבור ארגונים המשתמשים בהצפנה כחובה. למרות שאין עדיין תיקון רשמי, משתמשים יכולים לנקוט בצעדים מונעים כדי להפחית את הסיכון. מיקרוסופט צפויה לפרסם עדכון אבטחה בקרוב, וחשוב לעקוב אחר ההנחיות שלה כדי להבטיח הגנה מיטבית.