零日漏洞利用完全绕过Windows 11默认BitLocker加密保护

一个正在网络上流传的零日漏洞利用工具，允许能够物理接触Windows 11设备的人，在数秒内绕过系统默认的BitLocker保护，从而获得对加密驱动器的完整访问权限。

这一漏洞利用工具被命名为YellowKey，由一位网名为Nightmare-Eclipse的研究人员于本周早些时候公开发布。它能够可靠地绕过Windows 11系统默认部署的BitLocker保护机制。BitLocker是微软提供的全卷加密保护功能，其目的在于确保磁盘内容对任何没有解密密钥的人都不可访问，而该密钥存储在一块被称为可信平台模块（TPM）的安全硬件中。BitLocker对许多组织来说是强制性的安全保护措施，包括与政府机构签订合同的企业。

YellowKey漏洞利用的核心是一个自定义的FsTx文件夹。关于这个文件夹的在线文档极难查找。据后续分析解释，与fstx.dll文件关联的目录似乎涉及微软所称的"事务性NTFS"（Transactional NTFS），该机制允许开发人员在涉及单个文件、多个文件或跨多个来源的事务中，对文件操作实现"事务原子性"。

执行此绕过攻击的步骤相当简单：

将Nightmare-Eclipse漏洞页面中的自定义FsTx文件夹复制到一个格式为NTFS或FAT的U盘中；

将U盘连接到受BitLocker保护的设备上；

启动设备，并在启动时立即按住Ctrl键；

进入Windows恢复环境。

实现第三步至少有两种方式：一种是启动Windows后，按住Shift键，点击电源图标，再点击重启；另一种是在设备开机、Windows刚开始启动时立即重启设备。

无论采用哪种方式，最终都会出现一个命令提示符（CMD.EXE）窗口，且该窗口对整个驱动器内容具有完全访问权限，攻击者可借此复制、修改或删除文件。在正常的Windows恢复流程中，攻击者需要输入BitLocker恢复密钥，但YellowKey漏洞利用工具设法绕过了这一安全措施。包括Kevin Beaumont和Will Dormann在内的多位研究人员已证实，该漏洞利用工具的实际效果与上述描述一致。

目前尚不清楚自定义FsTx文件夹中的哪个部分导致了这一绕过。Dormann表示，这似乎与事务性NTFS有关，该机制本身在底层使用了命令日志文件系统。Dormann进一步指出，通过查看Windows的fstx.dll文件，可以发现代码中明确在FsTxFindSessions()函数里搜寻\System Volume Information\FsTx路径的逻辑。

YellowKey漏洞中所使用的FsTx目录内容，并未显示出任何与RecoverySimulation.ini相关的字符串，但确实包含了文件路径\??\C:\Windows\win.ini以及\??\X:\Windows\System32\winpeshl.ini，"其中X:\Windows\System32\winpeshl.ini正是控制Windows恢复环境（WinRE）启动时行为的文件。"

Tharros Labs高级主任漏洞分析师Dormann进一步表示：

"但真正令我困惑的是：为什么一个卷上存在\System Volume Information\FsTx目录，在重放时会影响另一个卷的内容？"

Q&A

Q1：YellowKey漏洞是如何绕过BitLocker加密保护的？

A：YellowKey漏洞的核心是一个自定义的FsTx文件夹，将其复制到U盘后连接到受保护设备，在启动时按住Ctrl键进入Windows恢复环境，即可获得对整个驱动器的完整访问权限，无需输入BitLocker恢复密钥。研究人员推测这与事务性NTFS机制有关，但具体原因尚未完全明确。

Q2：使用YellowKey漏洞需要什么前提条件？

A：使用YellowKey漏洞需要能够物理接触到目标Windows 11设备，同时需要准备一个格式为NTFS或FAT的U盘，并将自定义FsTx文件夹复制到U盘中。整个攻击过程只需数秒即可完成，操作步骤相对简单，不需要专业的技术背景。

Q3：BitLocker的TPM保护机制为什么无法阻止YellowKey漏洞攻击？

A：正常情况下，BitLocker将解密密钥存储在TPM硬件中，进入Windows恢复环境需要输入恢复密钥。但YellowKey漏洞通过触发与事务性NTFS相关的特定机制，使系统在恢复环境中跳过了密钥验证环节，从而直接获得对加密驱动器的完整访问权限。具体的绕过原理目前仍在研究人员的调查中。