YellowKey 是什么?
2026年5月12日,安全研究者 Nightmare-Eclipse 在 GitHub 上公开了一个名为 YellowKey 的 Bitlocker 绕过漏洞。这个漏洞的严重程度令人震惊——攻击者只需要一个 USB 设备和简单的文件操作,就能绕过 Windows 的全盘加密保护。
该漏洞在 GitHub 上迅速获得了 570+ 星标,在安全社区引发了广泛关注。
漏洞原理
YellowKey 漏洞的核心在于 Windows 恢复环境(WinRE)中的一个组件。根据研究者的描述:
- 漏洞利用的组件不存在于互联网上的任何公开资料中,只存在于 WinRE 镜像内部
- 研究者甚至暗示这可能是一个”后门”,因为该组件的代码风格和行为模式异常
- 漏洞利用不需要修改系统文件,只需要在 USB 设备上放置特定文件
复现步骤
根据公开的漏洞信息,攻击步骤如下:
- 将 FsTx 文件夹复制到 USB 设备的
System Volume Information\FsTx目录 - 文件系统需要与 Windows 兼容(推荐 NTFS,FAT32/exFAT 也应该可以)
- 将 USB 设备插入启用了 Bitlocker 保护的目标电脑
- 通过按住 Shift 键点击重启按钮,进入 Windows 恢复环境
- 在点击重启按钮后,松开 Shift 键并按住 Ctrl 键不放
- 如果操作正确,将弹出一个具有完全访问权限的 Shell
影响范围
这个漏洞的影响非常严重:
- 企业用户:所有使用 Bitlocker 加密的企业设备都可能受到影响
- 数据中心:物理安全是数据中心安全的最后一道防线,这个漏洞打破了这一假设
- 个人用户:任何依赖 Bitlocker 保护敏感数据的个人用户都需要警惕
- 合规要求:对于有严格数据保护要求的行业(金融、医疗、政府),这个漏洞可能触发合规问题
站长和企业 IT 需要做什么?
如果你管理的企业设备使用了 Bitlocker 加密,建议立即采取以下措施:
- 限制物理访问:加强设备的物理安全管理,防止未经授权的接触
- 禁用 USB 启动:在 BIOS/UEFI 中禁用 USB 设备启动
- 配置 Bitlocker 策略:启用”需要附加身份验证”策略,防止恢复环境被滥用
- 监控 WinRE:检查 WinRE 镜像中的异常组件
- 等待补丁:关注微软的安全更新,等待官方修复
简评
YellowKey 漏洞再次提醒我们,加密不等于安全。Bitlocker 作为 Windows 内置的全盘加密方案,被无数企业和个人用户信赖。但这个漏洞表明,恢复环境可能成为加密保护的薄弱环节。
对于站长来说,如果你的服务器或工作站使用了 Bitlocker,现在就该重新审视物理安全策略了。
来源:
© 版权声明
THE END
暂无评论内容