【安全资讯】Windows BitLocker零日漏洞曝光：攻击者可绕过加密访问受保护驱动器

概要：

一名安全研究员公开了针对Windows BitLocker的两个零日漏洞利用代码（PoC），分别命名为YellowKey和GreenPlasma。YellowKey可绕过BitLocker加密，在无需密码的情况下访问受保护驱动器；GreenPlasma则是一个权限提升漏洞，可获取系统最高权限。这些漏洞影响Windows 11及Server 2022/2025，且目前微软尚未发布补丁。

主要内容：

YellowKey漏洞利用Windows恢复环境（WinRE）中的组件，通过将特制的FsTx文件放置在USB驱动器或EFI分区，重启进入WinRE并按住CTRL键即可触发命令提示符，从而获得对BitLocker保护卷的完全访问权限。该漏洞在仅使用TPM（可信平台模块）的BitLocker配置下有效，因为系统会自动解密磁盘。研究员指出，即使启用TPM+PIN，漏洞仍可能被利用，但当前PoC未包含该版本。

GreenPlasma漏洞被描述为“Windows CTFMON任意节创建权限提升漏洞”，允许非特权用户在SYSTEM可写的目录对象中创建任意内存节对象，进而操纵特权服务或驱动程序。泄露的PoC不完整，但研究员表示“足够聪明的人可以将其转化为完整的权限提升”。

这些漏洞的公开源于研究员对微软漏洞处理方式的不满，并承诺将在下个月的补丁星期二发布“大惊喜”。独立安全研究员Kevin Beaumont确认了YellowKey的有效性，并建议使用BitLocker PIN和BIOS密码作为缓解措施。微软回应称将调查并尽快更新受影响设备，同时支持协调漏洞披露。