微软 BitLocker 磁盘加密再次被曝出严重安全问题。安全研究员公开了一个利用漏洞绕过 BitLocker 保护的工具,影响所有 Windows 11 系统。这是继 Nginx 18年老漏洞之后,又一个引发安全社区广泛关注的事件。
BitLocker 出了什么问题?
安全研究员公开了一个名为 YellowKey 的工具(GitHub 上已获 3200+ Star),能够在特定条件下绕过 BitLocker 的磁盘加密保护。
核心问题在于 BitLocker 的TPM(可信平台模块)集成方式:
- BitLocker 默认使用 TPM 芯片存储加密密钥
- 系统启动时,TPM 自动释放密钥,解密磁盘
- 攻击者可以通过物理访问 + 特定技术手段,在 TPM 释放密钥的瞬间截获它
这不是一个全新的攻击方式,但 YellowKey 把这个过程工具化了——降低了攻击门槛,让更多人可以复现这个攻击。
影响范围
受影响的系统包括:
- 所有 Windows 11 系统:使用默认 BitLocker 配置的设备
- Windows 10:同样受影响,但 Windows 11 的默认配置更依赖 TPM
- TPM 2.0 设备:大多数 2016 年以后的电脑都配备 TPM 2.0
不过需要注意:这个攻击需要物理接触设备。远程攻击者无法利用这个漏洞。
攻击难度有多大?
虽然 YellowKey 降低了技术门槛,但攻击仍然需要:
- 物理接触目标设备:需要拿到电脑本身
- 特定硬件工具:需要能够与 TPM 通信的设备
- 时间窗口:需要在设备启动过程中操作
对于普通用户来说,这个攻击的实际风险较低。但对于以下场景需要警惕:
- 企业高管/政府官员的笔记本电脑
- 存储敏感数据的服务器
- 在公共场所(咖啡厅、机场)可能被盗的设备
如何防护?
如果你使用 BitLocker,建议采取以下措施:
- 启用 TPM + PIN:在 BitLocker 设置中要求启动时输入 PIN,即使 TPM 被绕过也无法解密
- 使用独立密码:不依赖 TPM,改用密码或 USB 密钥解密
- 物理安全:不要让设备离开视线,尤其是出差时
- BIOS 密码:设置 BIOS/UEFI 密码,防止从外部介质启动
- 及时更新:关注微软的安全更新,可能会发布相关补丁
更深层的问题
这个事件暴露了一个更大的问题:很多”全盘加密”方案的安全性被高估了。
BitLocker 在”设备关机、被盗走”的场景下确实安全。但在”设备处于休眠/睡眠状态、被短暂接触”的场景下,防护能力大打折扣。
对于存储真正敏感数据的设备,建议:
- 关机而非休眠/睡眠
- 使用 VeraCrypt 等不依赖 TPM 的加密方案
- 考虑物理安全措施(锁孔、安全绳)
站长该怎么看?
如果你管理服务器或处理客户数据:
- 服务器:大多数服务器不使用 BitLocker(用 LUKS 或其他方案),影响有限
- 开发机:如果你的开发机存储了 API key、数据库密码等敏感信息,启用 TPM + PIN
- 笔记本:出差携带的笔记本是最需要关注的场景
- 云服务器:不受影响(云厂商有自己的加密方案)
安全是一个分层的体系。BitLocker 的这个漏洞不意味着你应该放弃磁盘加密——加密仍然是必要的,只是需要配合其他措施(PIN、物理安全、BIOS 密码)来增强防护。
来源:
YellowKey BitLocker Bypass (GitHub)
HN 讨论:BitLocker 安全漏洞
© 版权声明
THE END
暂无评论内容