W skrócie
Microsoft udostępnił tymczasową łatkę na lukę YellowKey w BitLockerze w systemie Windows 11, która pozwala obejść szyfrowanie dysku przy fizycznym dostępie do komputera. Jednocześnie firma publicznie skrytykowała badacza Nightmare-Eclipse za sposób ujawnienia podatności, co doprowadziło do ostrego konfliktu między stronami. To ważny temat dla użytkowników laptopów z Windows 11, administratorów i osób odpowiedzialnych za bezpieczeństwo danych w firmach.
- W skrócie
- YellowKey – luka, która rozbija szyfrowanie BitLockera
- Jak działa atak YellowKey?
- Tymczasowa łatka od Microsoftu – co właściwie robi?
- Dlaczego rozwiązanie jest tylko tymczasowe?
- Konflikt Microsoftu z badaczem bezpieczeństwa
- Blokada konta MSRC i zarzut o odcięcie kanału zgłoszeń
- Co powinni zrobić zwykli użytkownicy i firmy?
- Podsumowanie
YellowKey – luka, która rozbija szyfrowanie BitLockera
YellowKey to podatność oznaczona jako CVE-2026-45585, która dotyczy Windows 11 i mechanizmu szyfrowania dysków BitLocker. Luka pozwala napastnikowi z fizycznym dostępem do urządzenia obejść zabezpieczenia, wykorzystując błąd w środowisku odzyskiwania systemu Windows (WinRE), a konkretnie w sposobie, w jaki działa folder o nazwie FsTx.
Kluczowe jest tutaj to, że atak wymaga fizycznego dostępu do komputera – scenariusz najbardziej groźny przy kradzieży lub zgubieniu laptopa. W praktyce napastnik może użyć odpowiednio przygotowanego pendrive’a USB, aby ominąć ochronę BitLockera i dostać się do danych, które z założenia miały być zaszyfrowane i nieosiągalne.
Jak działa atak YellowKey?
Atak YellowKey wykorzystuje fakt, że WinRE startuje w specjalnym trybie przed pełnym uruchomieniem systemu i ma podwyższone uprawnienia. Wykorzystując lukę związaną z folderem FsTx oraz procesem startu, napastnik może wstrzyknąć własny kod lub wywołać operacje, które nie powinny być dozwolone na tym etapie rozruchu.
Lukę odkrył badacz Nightmare-Eclipse, znany także z innej podatności o nazwie MiniPlasma, która pozwalała na złośliwe modyfikacje rejestru systemowego. Tym razem zamiast cicho zgłosić problem, badacz opublikował publiczny proof of concept – działający przykład ataku, co w ocenie Microsoftu znacznie zwiększyło ryzyko nadużyć, zanim firma zdążyła w pełni załatać błąd.
Tymczasowa łatka od Microsoftu – co właściwie robi?
W odpowiedzi na nagłośnienie YellowKey, Microsoft przygotował tymczasowe rozwiązanie w formie skryptu dla WinRE, opisane w oficjalnym poradniku bezpieczeństwa na stronie Microsoft Security Response Center. Firma szczególnie rekomenduje jego użycie osobom, które często podróżują z laptopami służbowymi lub zabierają je poza biuro – to one są najbardziej narażone na scenariusz kradzieży sprzętu.
Skrypt działa w kilku krokach: montuje obraz WinRE, modyfikuje offline rejestr SYSTEM, usuwa wpis autofstx.exe z klucza bootexecute, a następnie ponownie „zamyka” obraz WinRE w taki sposób, aby zachować zaufanie BitLockera i nie wywołać błędów szyfrowania. Jeśli wpis autofstx.exe w ogóle nie istnieje, skrypt kończy się bez wprowadzania zmian, dzięki czemu ryzyko niepożądanych skutków ubocznych jest ograniczone.
Dlaczego rozwiązanie jest tylko tymczasowe?
Sam Microsoft jasno podkreśla, że ten skrypt to „tymczasowe rozwiązanie problemu bezpieczeństwa”, a nie pełna, docelowa poprawka w kodzie systemu. W praktyce to sprytny „opatrunek”, który blokuje możliwość uruchomienia potencjalnie niebezpiecznego komponentu we wczesnej fazie rozruchu, ale nie eliminuje u źródła wszystkich konsekwencji błędu.
Docelowo luka YellowKey powinna zostać usunięta poprzez klasyczną aktualizację systemu Windows dostarczoną przez Windows Update, podobnie jak inne poprawki bezpieczeństwa. Użytkownicy powinni więc traktować skrypt jako środek tymczasowy, który warto zastosować, ale jednocześnie regularnie sprawdzać dostępność aktualizacji na stronie Windows 11 lub w ustawieniach systemu.
Konflikt Microsoftu z badaczem bezpieczeństwa
Najciekawsza – i najbardziej kontrowersyjna – część historii nie dotyczy samej luki, lecz relacji między Microsoftem a jej odkrywcą. W swoim komunikacie firma stwierdziła, że proof of concept został upubliczniony „z naruszeniem najlepszych praktyk skoordynowanego ujawniania podatności”. To dość jednoznaczna sugestia, że badacz działał nieodpowiedzialnie, narażając użytkowników na ryzyko.
Badacz Nightmare-Eclipse odpowiedział bardzo ostro w otwartym liście opublikowanym na swoim blogu, zarzucając Microsoftowi zniesławienie i stwierdzając, że był ostrzegany, iż firma spróbuje zniszczyć jego reputację. Według niego takie publiczne oskarżenia nie pomagają rozwiązać konfliktu, a jedynie pogłębiają napięcia między korporacją a społecznością badaczy bezpieczeństwa.
Blokada konta MSRC i zarzut o odcięcie kanału zgłoszeń
Jeszcze poważniejszy zarzut dotyczy sposobu, w jaki Microsoft miał potraktować konto badacza w systemie MSRC, czyli platformie służącej do zgłaszania luk bezpośrednio do firmy. Nightmare-Eclipse twierdzi, że firma najpierw cofnęła mu dostęp do konta, a następnie trwale je usunęła, ignorując jego prośby o wyjaśnienia.
Jeśli te oskarżenia są prawdziwe, oznacza to, że Microsoft odciął jednego z aktywnych badaczy od oficjalnego kanału zgłaszania podatności. Z punktu widzenia bezpieczeństwa to strzał w stopę – mniej kanałów komunikacji oznacza mniejszą szansę, że kolejne luki zostaną przekazane w sposób kontrolowany, zanim trafią do opinii publicznej czy w ręce cyberprzestępców.
Co powinni zrobić zwykli użytkownicy i firmy?
Z punktu widzenia przeciętnego użytkownika najważniejsze jest, że BitLocker na Windows 11 ma konkretną lukę, którą można wykorzystać przy fizycznym dostępie do urządzenia. Jeśli korzystasz z laptopa z zaszyfrowanym dyskiem – czy to prywatnie, czy w pracy – warto potraktować YellowKey poważnie.
Najrozsądniejsze kroki to:
- Upewnić się, że Windows 11 jest w pełni aktualny poprzez Windows Update.
- Zastosować tymczasowy skrypt Microsoftu, jeśli jest to rekomendowane w Twojej organizacji, zwłaszcza gdy często podróżujesz z laptopem.
- Dodatkowo zadbać o procedury fizycznego bezpieczeństwa: silne hasło, pilnowanie urządzenia, szyfrowanie nośników zewnętrznych.
W przypadku firm i instytucji warto, aby dział IT zapoznał się z poradnikiem bezpieczeństwa Microsoftu i rozważył wdrożenie skryptu na urządzeniach z aktywnym BitLockerem. Szczególnie istotne jest środowisko z laptopami pracowników, które regularnie opuszczają biuro.
Podsumowanie
YellowKey to realna, choć wymagająca fizycznego dostępu, luka w BitLockerze na Windows 11, którą Microsoft stara się obecnie „przytłumić” tymczasowym skryptem modyfikującym WinRE, zanim udostępni pełną poprawkę systemową. Technicznie jest to sensowne, choć prowizoryczne rozwiązanie, które warto wdrożyć na sprzęcie szczególnie narażonym na kradzież lub zgubienie.
Znacznie gorzej wygląda warstwa komunikacyjna – publiczne oskarżenia pod adresem badacza i rzekome zablokowanie jego konta w MSRC wysyłają bardzo zły sygnał do społeczności bezpieczeństwa. Z perspektywy użytkownika kluczowe jest teraz: trzymać system aktualny, śledzić kolejne biuletyny bezpieczeństwa Microsoftu i traktować ten incydent jako przypomnienie, że nawet tak dojrzałe funkcje jak BitLocker nie są „raz na zawsze” w 100% odporne na błędy.