Recientemente, se ha descubierto un exploit de tipo zero-day que permite a personas con acceso físico a un sistema Windows 11 eludir las protecciones por defecto de BitLocker, accediendo a un disco cifrado en cuestión de segundos. El exploit, denominado YellowKey, fue publicado por un investigador que utiliza el seudónimo Nightmare-Eclipse.
BitLocker es una herramienta de cifrado de volumen completo que Microsoft proporciona para proteger el contenido de los discos, asegurando que solo aquellos con la clave de descifrado puedan acceder a ellos. Esta protección es obligatoria para muchas organizaciones, incluidas aquellas que contratan con gobiernos. Sin embargo, el exploit YellowKey logra eludir esta protección de manera confiable.
La base del exploit se encuentra en una carpeta personalizada llamada FsTx. Aunque la documentación sobre esta carpeta es escasa, se relaciona con lo que Microsoft denomina NTFS transaccional, que permite a los desarrolladores realizar operaciones de archivo de manera atómica. Los pasos para ejecutar el bypass son relativamente simples: copiar la carpeta FsTx a una unidad USB formateada en NTFS o FAT, conectar la unidad al dispositivo protegido por BitLocker y acceder al entorno de recuperación de Windows.
Una vez en el entorno de recuperación, el atacante puede acceder a un símbolo del sistema (CMD.EXE) que tiene acceso completo a todo el contenido del disco, permitiendo copiar, modificar o eliminar archivos. Normalmente, en un flujo de recuperación de Windows, se requeriría ingresar una clave de recuperación de BitLocker, pero el exploit YellowKey logra eludir esta salvaguarda.
Investigadores como Kevin Beaumont y Will Dormann han confirmado que el exploit funciona como se describe. Aunque no está claro qué en la carpeta FsTx causa el bypass, se ha observado que parece estar relacionado con NTFS transaccional. Este descubrimiento plantea serias preocupaciones sobre la seguridad de los sistemas que dependen de BitLocker para proteger información sensible, especialmente en entornos empresariales donde la protección de datos es crítica.
Comentarios