> **导语**:2026年5月12日,一名匿名安全研究员在GitHub上公开了YellowKey的完整概念验证代码,声称该漏洞能完全绕过Windows BitLocker全盘加密——无需密码、无需恢复密钥,只需一个U盘和数次重启。这名自称”最疯狂的漏洞猎人”同时指控微软在BitLocker中故意植入后门。截至目前,微软尚未发布官方补丁。
—
## 一、漏洞概述与影响范围
2026年5月12日,安全研究员 Nightmare-Eclipse(化名”混沌日食”)在GitHub上同步公开了两个Windows零日漏洞:YellowKey和GreenPlasma。前者针对BitLocker全盘加密机制,后者通过CTFMON服务实现本地权限提升。
YellowKey被该研究者描述为”他所发现的最疯狂的漏洞之一”,并称之为”几乎就像一个后门”。
受影响的Windows版本包括:
– **Windows 11**(所有版本,默认启用BitLocker设备加密)
– **Windows Server 2022**
– **Windows Server 2025**
值得注意的是,**Windows 10不受影响**——原因是该漏洞所利用的特定代码组件仅存在于Windows恢复环境(WinRE)镜像中,而Windows 10的WinRE版本不包含该行为。
—
## 二、攻击原理深度剖析
### 2.1 攻击链路简化
YellowKey的攻击过程分为三个阶段:
**第一步:准备攻击介质。** 攻击者将特制的FsTx(Transactional NTFS事务日志)文件夹复制到USB驱动器写入System Volume Information目录,或将文件复制到目标磁盘的EFI分区。
**第二步:触发Windows恢复环境。** 将U盘插入目标电脑,按住Shift键点击重启,系统进入Windows恢复环境(WinRE)。
**第三步:诱导降级。** 在重启过程中持续按住Ctrl键,WinRE会回放USB驱动器上System Volume Information\FsTx目录中的事务日志。这些日志文件会删除WinRE原本要启动的winpeshl.ini文件,导致系统回退到命令行提示符——而此时,BitLocker卷的TPM已自动完成解锁。
攻击者随后获得的命令行窗口,拥有对BitLocker保护驱动器的完整读写权限,且无需输入任何密码或恢复密钥。
### 2.2 核心利用机制:Transactional NTFS
YellowKey的技术核心是Transactional NTFS(TxF)机制。WinRE在启动时会回放FsTx目录中的事务日志,这些日志能够修改另一个卷上的文件——独立安全专家Will Dormann指出,这本身就是一个深层次的安全问题:一个卷上的FsTx目录居然能修改另一个卷的内容。
更深层的疑点在于:触发漏洞的代码组件**仅存在于WinRE镜像中**,而在正常安装的Windows系统中,相同名称的组件却不具备BitLocker绕过能力。这种差异性加剧了”后门”指控的可信度。
### 2.3 执行后自毁:不留痕迹
Tom’s Hardware在实测中发现,攻击文件在执行一次后会自动从USB驱动器中删除,不留任何痕迹。这种”政府级后门”的隐蔽特征,进一步加深了外界对微软的质疑。
—
## 三、后门指控与微软回应
### 3.1 研究者的指控依据
研究者在博客中明确将YellowKey定性为”微软故意植入的后门”,并列出了以下理由:
**代码位置异常**:触发漏洞的代码组件仅存在于WinRE镜像中,而正常Windows安装镜像中完全相同的组件名称却不包含BitLocker绕过功能。
**不可解释性**:研究者表示”我无法找到除了’这是故意的’之外的任何解释”,且仅Windows 11和Server 2022/2025受影响,Windows 10则完全免疫。
**自毁机制**:FsTx文件执行后自动删除,具备典型政府级后门的隐蔽特征。
**修复时间线存疑**:研究者指出,2026年5月12日微软刚刚发布5月Patch Tuesday(含BitLocker相关修复),而YellowKey PoC却在同日公开——”微软是否刚打完补丁就遭遇打脸?”
### 3.2 微软尚未正面回应
截至今日(5月18日),微软尚未就后门指控发表官方回应。微软安全响应中心(MSRC)仅表示”正在调查”,未给出具体的漏洞确认或补丁时间表。
独立安全专家Kevin Beaumont和Will Dormann先后在社交媒体上确认漏洞有效。Elcomsoft随后发布了深度密码学与取证分析,指出该漏洞的利用路径在技术上具有极高的鲁棒性。
—
## 四、TPM+PIN是否安全?
令安全社区更为担忧的是研究者的另一声明:YellowKey在**TPM+PIN**(双因素认证)配置下依然有效。
研究者选择不公开TPM+PIN环境下的具体PoC,但表示”我认为已经公开的部分已经够糟了”。这意味着企业广泛依赖的”BitLocker+TPM+PIN”三层防护体系,在YellowKey面前可能同样脆弱。
对于已将BitLocker作为等保2.0合规加密方案的企业而言,这一消息尤为值得关注。
—
## 五、GreenPlasma:同期提权漏洞
与YellowKey同日公开的GreenPlasma利用了Windows CTFMON服务的任意节创建漏洞。低权限用户可在SYSTEM可写目录对象中创建任意内存节对象,进而影响信任这些路径的高权限服务或驱动,最终获取SYSTEM权限。
当前公开的GreenPlasma PoC不完整——研究者故意删除了获取完整SYSTEM shell的关键代码,将其作为对安全社区的”挑战”。即便如此,当前利用方式仍会触发用户账户控制(UAC)提示,但攻击面已经暴露。
影响范围:Windows 11、Windows Server 2022、Windows Server 2026。
—
## 六、缓解建议与缓解措施
| 缓解方案 | 有效性 | 说明 |
|———|——–|——|
| 禁用WinRE | 有效 | 从根源切断攻击路径,直接禁用Windows恢复环境 |
| BIOS/UEFI启动密码 | 辅助 | 防止攻击者随意重启进入WinRE |
| 加强物理安全 | 根本防御 | 漏洞利用需要物理接触,控制设备访问是最有效手段 |
| 临时使用Windows 10 | 有效 | Windows 10不受YellowKey影响 |
| 评估VeraCrypt替代 | 长期方案 | 安全专家建议评估第三方全盘加密方案 |
对于企业安全运营团队,建议立即采取以下行动:
– 清点所有启用BitLocker的Windows 11/Server设备,评估物理访问风险
– 对高敏感设备考虑在BIOS/UEFI层设置启动密码
– 持续监控微软官方安全公告,等待官方补丁发布
– 评估第三方磁盘加密方案作为长期替代
—
## 七、事件背景与研究者动机
Nightmare-Eclipse(GitHub用户名)/ Chaotic Eclipse(博客名DeadEclipse666)并非首次对微软”出手”。此前,该研究者已公开三个Windows Defender零日漏洞:
– **BlueHammer**(CVE-2026-33825):使Windows Defender交出SYSTEM权限
– **RedSun:另一个Windows Defender本地提权漏洞
– **UnDefend:Windows Defender相关漏洞
研究者声称微软安全团队多次驳回或冷处理其漏洞报告,因此选择公开披露作为回应。他在博客中写道:”我本可以通过出售此漏洞获得巨额利润,但没有任何金钱能阻挡我反对微软的决心”,并预告下个Patch Tuesday将有”更大的惊喜”。
目前,研究者与微软之间的争议已进入舆论战阶段,The Register、BleepingComputer等主流媒体均对此进行了跟踪报道。
—
## 八、威胁时间线
| 时间 | 事件 |
|——|——|
| 2026年3-4月 | 研究者先后公开BlueHammer、RedSun、UnDefend三个Windows Defender零日漏洞 |
| 2026年5月12日 | 微软发布5月Patch Tuesday(修复130+漏洞) |
| 2026年5月12日 | Nightmare-Eclipse同步公开YellowKey和GreenPlasma PoC |
| 2026年5月13日 | Kevin Beaumont、Will Dormann等独立专家确认漏洞有效 |
| 2026年5月13-14日 | Ars Technica、Tom’s Hardware、The Hacker News等主流媒体广泛报道 |
| 2026年5月14日 | 研究者更新博客,披露TPM+PIN环境同样受影响 |
| 2026年5月18日 | Elcomsoft发布深度技术分析,微软仍未发布官方补丁 |
—
## 九、检测与防御建议(蓝队视角)
从防御者角度,YellowKey的检测难点在于攻击依赖物理接触且FsTx文件自毁。以下检测思路供参考:
**环境层面**:审计WinRE配置,监控意外的WinRE触发行为(可通过Shift+重启事件日志进行关联分析)。
**网络层面**:注意设备失窃后的账号风险——攻击者获取磁盘数据后,可能尝试离线破解BitLocker恢复密钥或导出敏感数据。
**事件响应**:若设备曾落入他人手中且未设置PIN保护,应假定BitLocker卷已被解密,考虑进行完整重装和密钥轮换。
根据MITRE ATT&CK框架,该漏洞利用属于**TPM劫持**相关的物理访问攻击变种,战术编号对应TA-0008(初始访问)和T0852(可移动介质利用)。
—
**版权声明**:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。
暂无评论内容