Eksploit zero‑day i quajtur YellowKey shkatërron mbrojtjen e parazgjedhur të BitLocker në Windows 11
Një eksploit zero‑day i njohur si **YellowKey** po përhapet në internet dhe i lejon personat me akses fizik në një kompjuter me Windows 11 të anashkalojnë mbrojtjen e parazgjedhur të BitLocker‑it. Eksploit‑i, i publikuar këtë javë nga kërkuesi i njohur me pseudonimin *Nightmare‑Eclipse*, shfrytëzon një dosje të veçantë FsTx për të hyrë në një disk të enkriptuar brenda pak sekondash, pa pasur nevojë për çelësin e rikuperimit të BitLocker‑it.
Baza e YellowKey‑it qëndron në një bibliotekë të krijuar posaçërisht, **fstx.dll**, e cila lidhet me funksionin “Transactional NTFS” që Microsoft e përdor për të ofruar “atomikë transaksional” në operacione skedari. Duke ndjekur një seri të thjeshtë hapash – nisja e sistemit në mënyrë të veçantë (p.sh. duke shtypur Shift + Restart ose duke rinisur menjëherë pas ndezjes) – hapet një prompt komandash (CMD.EXE) me akses të plotë në përmbajtjen e diskut. Në një skenë normale të rikuperimit, përdoruesi do të duhej të fusë çelësin e rikuperimit të BitLocker‑it, por YellowKey anashkalon këtë kërkesë dhe lejon hapjen e diskut pa çelës.
Kërkuesit Kevin Beaumont dhe Will Dormann kanë verifikuar funksionimin e eksploit‑it dhe kanë theksuar se problemi mund të lidhet me dosjen **\System Volume Information\FsTx**. Dormann, analist i lartë i cenimeve në Tharros Labs, ka vënë në dukje se prania e kësaj dosjeje në një volum mund të ndikojë në përmbajtjen e një volum tjetër, duke fshirë skedarin *winpeshl.ini* në diskun e rikuperimit dhe duke nxjerrë një prompt CMD me BitLocker-in e çelur. Microsoft-i nuk ka komentuar në detaje, por ka konfirmuar se po heton çështjen.
Eksplorimi tregon se, në modalitetin e parazgjedhur të BitLocker‑it në Windows 11, ku çelësat e dekriptimit ruhen vetëm në TPM, mbrojtja është e pamjaftueshme. Shumë ekspertë të sigurisë kanë rekomanduar që, përveç çelësit TPM, të kërkohet edhe një PIN ose një fjalëkalim BIOS për të forcuar mbrojtjen, megjithatë nuk është e qartë nëse këto masa do të ndalojnë plotësisht sulmin YellowKey. Përdoruesit duhet të jenë të vetëdijshëm se pajisjet e humbur ose të vjedhura mund të aksesohet lehtësisht, edhe kur BitLocker është aktivizuar.