تم الكشف عن ثغرة أمنية خطيرة من نوع Zero-Day تنتشر حالياً على الإنترنت، تسمح لمن يملك وصولاً فعلياً إلى جهاز يعمل بنظام Windows 11 بتجاوز حماية BitLocker الافتراضية والوصول الكامل إلى القرص المشفر خلال ثوانٍ فقط.
هذه الثغرة، التي أطلق عليها اسم YellowKey، تم نشرها مؤخراً من قبل باحث يُعرف باسم Nightmare-Eclipse. وتُظهر الاختبارات أن الثغرة تعمل بشكل موثوق على أنظمة Windows 11 التي تستخدم إعدادات BitLocker الافتراضية، وهي تقنية تشفير كامل للقرص تضمن عدم قدرة أي شخص على الوصول إلى محتويات القرص بدون مفتاح فك التشفير، الذي يُخزن غالباً في وحدة أمان معروفة باسم Trusted Platform Module (TPM). تعتبر حماية BitLocker ضرورية للعديد من المؤسسات، خاصة تلك التي تتعامل مع الحكومات.
### كيف تعمل ثغرة YellowKey؟
جوهر ثغرة YellowKey يكمن في مجلد خاص يُعرف بـ FsTx، وهو مجلد مخصص يُستخدم في تقنية Transactional NTFS التي توفر ما يُعرف بـ “الطابع الزمني المعامل”. هذا المجلد غير متوفر بشكل واسع على الإنترنت، لكن الباحثين استطاعوا تحديد دوره في عملية التهديد.
عند تنفيذ الهجوم، يتبع المهاجم خطوات بسيطة:
1. نسخ مجلد FsTx المخصص من صفحة Nightmare-Eclipse إلى جهاز تخزين USB مُهيأ بنظام ملفات NTFS أو FAT.
2. توصيل وحدة USB بالجهاز المحمي بواسطة BitLocker.
3. تشغيل الجهاز، ثم فوراً الضغط مع الاستمرار على مفتاح [Ctrl].
4. الدخول إلى وضع استرداد Windows.
هناك طريقتان لتحقيق الخطوة الأخيرة:
– إحداها عبر تشغيل Windows، ثم الضغط مع الاستمرار على مفتاح [Shift]، والنقر على أيقونة الطاقة، واختيار “إعادة التشغيل”.
– أو عبر إيقاف تشغيل الجهاز ثم تشغيله مرة أخرى بسرعة بمجرد بدء عملية التمهيد.
بمجرد الوصول إلى وضع الاسترداد، يظهر موجه أوامر CMD.EXE، وهو يمتلك وصولاً كاملاً إلى محتويات القرص، مما يتيح للمهاجم نسخ، تعديل، أو حذف البيانات بسهولة.
وعادةً، في سيناريوهات استرداد Windows، يلزم إدخال مفتاح استرداد BitLocker، لكن الثغرة YellowKey تتجاوز هذه الحاجة بشكل فعال.
### ما هو سبب نجاح الثغرة؟
حتى الآن، لم يتم الكشف بشكل كامل عن السبب الدقيق وراء قدرة الثغرة على تجاوز الحماية. ومع ذلك، يعتقد الخبراء أن الأمر مرتبط بتقنية Transactional NTFS، التي تعتمد على نظام سجل الأوامر (command-log file system). الباحث Will Dormann أشار إلى أن فحص ملف fstx.dll الخاص بـ Windows يكشف عن رمز يبحث بشكل صريح عن مسار \System Volume Information\FsTx داخل وظيفة تسمى FsTxFindSessions().
### التحذيرات والتوصيات
هذه الثغرة تمثل خطراً كبيراً على الأجهزة التي تعتمد على BitLocker، خاصة في البيئات التي تتطلب حماية عالية. ينصح بشدة بأن تبقى أنظمة Windows محدثة دائماً، وأن يتم تقييم استخدام طرق حماية إضافية لضمان عدم استغلال هذه الثغرة.
كما يُشدد على ضرورة مراقبة التحديثات الأمنية التي تصدرها شركة Microsoft لمعالجة هذه المشكلة فور توفرها.
المصدر: Biz & IT – Ars Technica
