Zero-day YellowKey: παρακάμπτει το BitLocker των Windows 11 με USB stick

Ένα νέο zero-day exploit με την ονομασία YellowKey κυκλοφόρησε δημόσια στις 12 Μαΐου 2026, επιτρέποντας σε οποιονδήποτε με φυσική πρόσβαση σε μηχάνημα Windows 11 να παρακάμψει πλήρως την προστασία BitLocker και να αποκτήσει πρόσβαση στα κρυπτογραφημένα δεδομένα μέσα σε δευτερόλεπτα. Ο ερευνητής που κρύβεται πίσω από τα ψευδώνυμα Chaotic Eclipse και Nightmare-Eclipse δημοσίευσε απόδειξη λειτουργίας (proof-of-concept) που επιτρέπει σε έναν εισβολέα με φυσική πρόσβαση σε μηχάνημα Windows 11 να παρακάμψει το BitLocker και να αποκτήσει απεριόριστη πρόσβαση στον αποθηκευτικό χώρο.

Ποια συστήματα απειλούνται

Ο ερευνητής διευκρίνισε ότι επηρεάζονται μόνο τα Windows 11, Windows Server 2022 και Windows Server 2025 — όχι τα Windows 10. Τα καταναλωτικά μηχανήματα είναι ιδιαίτερα εκτεθειμένα, καθώς τα Windows 11 ενεργοποιούν το BitLocker σε λειτουργία TPM-only από προεπιλογή — δηλαδή το μηχάνημα αποκρυπτογραφεί αυτόματα κατά την εκκίνηση χωρίς να απαιτεί PIN. Το BitLocker προστατεύει εκατομμύρια μηχανήματα παγκοσμίως, σε οικιακό, εταιρικό και κυβερνητικό επίπεδο, ιδίως καθώς είναι ενεργοποιημένο από προεπιλογή στα Windows 11.

Πώς λειτουργεί το YellowKey

Σε γενικές γραμμές, το exploit περιλαμβάνει αντιγραφή ειδικά κατασκευασμένων αρχείων "FsTx" σε USB drive ή στο EFI partition, επανεκκίνηση στο περιβάλλον αποκατάστασης των Windows (WinRE), και ενεργοποίηση ενός shell κρατώντας πατημένο το πλήκτρο CTRL. Ο ερευνητής Will Dormann διευκρίνισε ότι κατά την εκκίνηση του WinRE, τα Windows αναζητούν φακέλους FsTx στα συνδεδεμένα drives και «αναπαράγουν» τα αρχεία καταγραφής NTFS, με αποτέλεσμα να διαγράφεται το αρχείο X:\Windows\System32\winpeshl.ini — και αντί για το κανονικό περιβάλλον αποκατάστασης να εμφανίζεται απευθείας γραμμή εντολών CMD.EXE, με τον δίσκο ακόμα ξεκλείδωτο.

Ο ερευνητής σημειώνει ότι δεν απαιτείται καν USB stick: αρκεί η προσωρινή αφαίρεση του δίσκου από το στόχο, η εγγραφή του φακέλου FsTx στο EFI partition, και η επανατοποθέτησή του — το exploit ενεργοποιείται κανονικά. Ο εισβολέας δεν χρειάζεται κώδικα exploit με την κλασική έννοια, αλλά απλώς μια συγκεκριμένη δομή φακέλων και φυσική πρόσβαση στη συσκευή.

Ανεξάρτητη επαλήθευση και αντιδράσεις ερευνητών

Αρκετοί ερευνητές ασφαλείας, μεταξύ των οποίων οι Kevin Beaumont, KevTheHermit και Will Dormann, δοκίμασαν το exploit και επιβεβαίωσαν ότι λειτουργεί ακόμα και στις πιο πρόσφατες εκδόσεις των Windows 11. Ο Rik Ferguson, VP ασφαλείας στη Forescout, δήλωσε χαρακτηριστικά: «Αν [ο ισχυρισμός] ευσταθεί, ένα κλεμμένο laptop παύει να είναι πρόβλημα υλικού και γίνεται υπόθεση γνωστοποίησης παραβίασης δεδομένων.»

Παρά την απαίτηση φυσικής πρόσβασης, ο Gavin Knapp, επικεφαλής αναλυτής κυβερνοαπειλών στη Bridewell, δήλωσε στο The Register ότι το YellowKey παραμένει «τεράστιο πρόβλημα ασφαλείας για τους οργανισμούς που χρησιμοποιούν BitLocker».

Το ερώτημα του backdoor

Ο ερευνητής υποστηρίζει ότι το στοιχείο που ευθύνεται για το σφάλμα δεν απαντάται πουθενά αλλού (ούτε στο διαδίκτυο) εκτός από την εικόνα WinRE, ενώ το ίδιο στοιχείο υπάρχει με το ίδιο ακριβώς όνομα σε μια κανονική εγκατάσταση Windows, αλλά χωρίς τις λειτουργίες που ενεργοποιούν την παράκαμψη του BitLocker. Ο Nightmare-Eclipse υπαινίχθηκε ότι το YellowKey λειτουργεί ως backdoor εισαγμένο από τη Microsoft, αν και οι ειδικοί που μίλησαν στο The Register επισήμαναν ότι αυτό είναι αδύνατο να επαληθευτεί με βάση τα διαθέσιμα στοιχεία.

TPM+PIN: μερική, όχι πλήρης λύση

Ο Chaotic Eclipse προειδοποίησε ότι το YellowKey λειτουργεί και σε συσκευές προστατευμένες με TPM PIN, αλλά απέσχε από τη δημοσίευση του αντίστοιχου PoC. Ο Dormann διευκρίνισε ότι, επειδή το exploit αξιοποιεί τη λειτουργία αυτόματης αποκρυπτογράφησης κατά την εκκίνηση, το τρέχον PoC του YellowKey δεν λειτουργεί σε διαμορφώσεις TPM+PIN. Ωστόσο, η παραλλαγή TPM+PIN παραμένει ανεπιβεβαίωτη ως προς την αποτελεσματικότητά της από ανεξάρτητους ερευνητές.

Ποιος κρύβεται πίσω από το YellowKey — και τι ακολουθεί

Το YellowKey και το GreenPlasma είναι τα πιο πρόσφατα από μια σειρά πέντε zero-day ευπαθειών Windows που ο ερευνητής έχει αποκαλύψει φέτος. Όταν ο Nightmare-Eclipse κυκλοφόρησε το BlueHammer (CVE-2026-32201) — που διορθώθηκε από τη Microsoft τον Απρίλιο — περιγράφηκε ως δυσαρεστημένος ερευνητής, για τον οποίο κυκλοφορούν φήμες ότι είναι πρώην υπάλληλος της Microsoft.

Ο Chaotic Eclipse υποσχέθηκε και μια «μεγάλη έκπληξη» για τη Microsoft, που θα συμπίπτει με την επόμενη ενημέρωση Patch Tuesday του Ιουνίου 2026. Ισχυρίζεται ότι διαθέτει «νεκρό μάνταλο» με περισσότερα έτοιμα exploits, και ο ερευνητής έχει τηρήσει κάθε προηγούμενη απειλή του.

Παράλληλα, η γαλλική εταιρεία κυβερνοασφάλειας Intrinsec παρουσίασε μια ξεχωριστή αλυσίδα επίθεσης κατά του BitLocker που αξιοποιεί υποβάθμιση του boot manager μέσω του CVE-2025-48804 (βαθμολογία CVSS: 6,8), παρακάμπτοντας την κρυπτογράφηση σε πλήρως ενημερωμένα συστήματα Windows 11 σε λιγότερο από πέντε λεπτά.

Τι μπορείτε να κάνετε τώρα

Patch δεν υπάρχει. Σύμφωνα με πληροφορίες που κυκλοφορούν σε κύκλους αναλυτών κυβερνοαπειλών, το YellowKey μπορεί να περιοριστεί με ενεργοποίηση PIN για το BitLocker και κωδικό κλειδώματος BIOS. Το δεύτερο σημείο είναι κρίσιμο: αν αποκλείσετε την εκκίνηση από USB στο BIOS, αποκλείεται και αυτό το exploit. Η Microsoft δήλωσε ότι «υποστηρίζει την υπεύθυνη γνωστοποίηση ευπαθειών, μια ευρέως υιοθετημένη πρακτική που εξασφαλίζει ότι τα ζητήματα διερευνώνται προσεκτικά και αντιμετωπίζονται πριν από τη δημόσια αποκάλυψη».

Πηγές

• Ars Technica — Zero-day exploit completely defeats default Windows 11 BitLocker protections
• SecurityWeek — Researcher Drops YellowKey, GreenPlasma Windows Zero-Days
• BleepingComputer — Windows BitLocker zero-day gives access to protected drives, PoC released
• The Register — Disgruntled researcher releases two more Microsoft zero-days
• XDA Developers — A new Windows 11 BitLocker bypass only needs a USB stick
• GitHub — Nightmare-Eclipse/YellowKey (PoC repository)