Egy biztonsági kutató 2026 májusában két új, eddig ismeretlen sebezhetőséget hozott nyilvánosságra. A YellowKey és a GreenPlasma névre keresztelt exploitok különösen veszélyesek, mert nem csupán egy egyszerű programhibát tárnak fel, hanem egyes szakértők szerint arra utalhatnak, hogy a rendszerbe szándékosan beépített „hátsó ajtó” is létezhet.
A BitLocker a Microsoft Windows operációs rendszer beépített lemeztitkosítási funkciója, amelyet a cég a Windows Vista 2007-es megjelenésével vezetett be. A rendszer az egész merevlemezt titkosítja. Ha valaki kiveszi a tárolót a számítógépből, az adatok teljesen olvashatatlanok maradnak a megfelelő visszafejtési kulcs nélkül. A Windows 11 rendszereken a BitLocker alapértelmezés szerint be van kapcsolva, és a vállalati, kormányzati és magánfelhasználók egyaránt támaszkodnak rá érzékeny adatok védelmére. A BitLocker biztonságát jellemzően egy TPM (Trusted Platform Module) chip garantálja, amely tárolja a titkosítási kulcsot, és csak akkor adja át, ha a rendszer állapota nem változott meg gyanúsan. Ezen felül beállítható PIN kód is, ami plusz védelmi réteget jelent.
A „Chaotic Eclipse”, más nevén „Nightmare-Eclipse” álnéven tevékenykedő kutató megharagudott a Microsoftra, állítása szerint a cég megszegte a vele kötött megállapodását. A kutató modus operandija, hogy minden egyes Patch Tuesday (a Microsoft havi biztonsági frissítési napja) után közzétesz egy új, súlyos exploitot. Korábban már közzétette a BlueHammer és RedSun névre keresztelt sebezhetőségeket, amelyek a Windows Defender folyamatát kihasználva adtak rendszergazdai jogosultságot a támadónak. A BlueHammert a Microsoft kijavította, a RedSunt állítólag csendben, bejelentés nélkül befoltozta. A kutató ezek után lépett eggyel magasabb szintre.
A YellowKey nevű exploit megdöbbentően egyszerű módszerrel kerüli meg a BitLocker védelmet. A támadáshoz nincs szükség sem különleges hardverre, sem drága szoftverekre.Elegendő néhány speciálisan összeállított fájlt egy közönséges USB pendrive-ra másolni, majd a célzott gépet a Windows beépített helyreállítási környezetébe (Windows Recovery Environment, WinRE) újraindítani. Egy meghatározott billentyűkombináció megnyomása után egy parancssor nyílik meg. Ezután a korábban hermetikusan lezárt, titkosított meghajtó tartalmához korlátozás nélkül hozzá lehet férni. Az exploit fájljai az USB pendrive-ról egyetlen használat után automatikusan törlődnek, szinte semmilyen digitális lábnyomot nem hagyva. A kutató állítja, hogy létezik egy olyan variánsa is, amely a PIN kóddal védett konfigurációt is megkerüli, ezt azonban egyelőre szándékosan nem hozta nyilvánosságra. A jelenleg elérhető publikus exploit ellen a PIN kód védelmet nyújthat.Egy másik független biztonsági kutató (KevTheHermit) szintén megerősítette a működőképességét, bár megjegyezte, hogy a szükséges billentyűkombináció eltalálása „kicsit esetleges”.
Az exploit által kihasznált komponens csak a WinRE helyreállítási környezetben rendelkezik a BitLockert megkerülő funkcionalitással. A normál Windows telepítésben ugyanez a komponens ugyanazzal a névvel szerepel, de ezek a funkciók hiányoznak belőle. Erre a kutató nem talált más magyarázatot, mint a szándékos beépítést. Ez egyelőre azonban bizonyítatlan hipotézis, nem igazolt tény.
Érintett rendszerek: Windows 11, Windows Server 2022 és Windows Server 2025. A Windows 10 nem érintett.
A YellowKey-el együtt a kutató közzétett egy másik exploitot is, a GreenPlasma-t, amely a CTFMon (ctfmon.exe) nevű Windows rendszerfolyamatot célozza. Ez a háttérben futó folyamat a szövegbeviteli funkciókért felelős (pl. billentyűzetkiosztás, érintőbevitel), és SYSTEM szinten fut minden interaktív munkamenetben. Az exploit a Windows registry és jogosultságszabályok egy láncolatát kihasználva egy mesterségesen előkészített memóriaszakaszt „etet meg” a CTFMon folyamattal. Ez a folyamat aztán – mivel a rendszer megbízik benne – rendszergazdai jogosultságokkal kezeli azt, lehetővé téve rosszindulatú kód vagy hamis rendszerkönyvtárak elhelyezését. Az eredmény SYSTEM szintű hozzáférés, ami a Windows legeslegmagasabb jogosultsági szintje. A kutató ezt az exploitot szándékosan hiányosan tette közzé, kihagyva belőle az utolsó lépést.
A cikk megjelenésekor a Microsoft semmilyen hivatalos nyilatkozatot nem adott ki sem a YellowKey, sem a GreenPlasma kapcsán. A kutató ráadásul azt is megüzente, hogy a következő Patch Tuesday „nagy meglepetés lesz a Microsoft számára“, és más technológiai cégeket is bevon a nyilvánosan közzétett exploitok sorába, amennyiben a Microsoft nem oldja meg a helyzetet.
Jelenleg nem létezik hivatalos javítás. Addig is az alábbiak ajánlottak:
- Kapcsoljuk be a BitLocker PIN kódot. A jelenleg nyilvánosan elérhető exploit változat ellen a PIN kód védelmet nyújthat.
- Állítsunk be BIOS/UEFI jelszót is, hogy megakadályozzuk az illetéktelen újraindítást a helyreállítási környezetbe.
- Telepítsük azonnal a Windows-frissítéseket. A javítás várhatóan a soron következő Patch Tuesday-en érkezik.
- Védjük fizikailag az eszközöket. A támadáshoz fizikai hozzáférés szükséges a géphez.