На прошлой неделе в Windows 11 нашли сразу три новых уязвимости нулевого дня. Самая неприятная из них бьёт по BitLocker: при физическом доступе к ноутбуку атакующий может добраться до данных, если система настроена по умолчанию.

Это не история про абстрактный риск из учебника. Речь о сценарии кражи устройства, когда владельцу важно не просто восстановить доступ, а не отдать содержимое диска вместе с ним.

Что случилось и почему это важно

В открытый доступ попали сведения о трёх проблемах, которые автор с псевдонимом Nightmare Eclipse снабдил демонстрационным кодом. Патча от Microsoft на момент публикации не было, а значит, у защитников оставалось только одно — быстро понять масштаб угрозы и закрыть слабые места организационными мерами.

Одна уязвимость, YellowKey, связана с логикой BitLocker. Если коротко: при определённой последовательности действий через флешку и режим восстановления можно получить доступ к зашифрованному хранилищу. Для обычного пользователя это особенно опасно, потому что защита диска часто воспринимается как финальная линия обороны.

Три сценария атаки: что умеют уязвимости

YellowKey опасна для конфиденциальности. Она работает только на Windows 11 и, судя по описанию, затрагивает системы с настройками шифрования по умолчанию, где ключи лежат в TPM.

GreenPlasma выглядит как заготовка для повышения привилегий в системе. Полного эксплойта автор не показал, но даже неполный код в руках атакующего — это уже не теория, а стартовая точка для доработки.

MiniPlasma связана с компонентом cldflt.sys и тоже поднимает привилегии. Важная деталь — проблема известна с 2020 года, а рабочий эксплойт на полностью обновлённой системе намекает, что старое исправление закрыло дыру не до конца.

Эта история хорошо рифмуется с другими свежими инцидентами в экосистеме Microsoft. Ранее мы уже разбирали атаку на Exchange Server, где речь тоже шла не о единичной ошибке, а о системном риске для инфраструктуры.

Кому что грозит

Если у вас обычный домашний ноутбук, главный риск — физическая кража устройства. В таком случае одна лишь встроенная защита диска без дополнительных настроек может оказаться слабее, чем кажется.

Если речь о рабочем парке машин, уязвимости опаснее вдвойне. Администраторы получают не только риск утечки данных, но и угрозу захвата прав в системе, после чего атакующему проще закрепиться в сети и двигаться дальше.

Для ИТ-отделов и отделов безопасности это ещё и вопрос дисциплины обновлений. Старые патчи не всегда закрывают проблему окончательно, а значит, нужна проверка не только версий, но и реального поведения системы после обновления.

Что делать сейчас

Для обычного пользователя самый разумный подход — усилить защиту ноутбука там, где шифрование уже есть, но настроено слишком мягко. В случае с Windows 11 стоит включить дополнительный PIN для доступа к ключам в TPM: это усложняет жизнь тому, кто получил физический доступ к машине.

Тем, кто часто работает вне офиса, полезно собрать базовый набор цифровой гигиены заранее: менеджер паролей, двухфакторная аутентификация, актуальные обновления и отдельный способ защищать трафик в общественных сетях. Для такой задачи можно посмотреть на инструмент для защищённого соединения дома и в поездках как на один из дополнительных слоёв, а не как на замену обновлениям и паролям.

В корпоративной среде нужен уже не совет, а регламент: сверка настроек BitLocker, контроль наличия PIN, проверка обновлений Windows и мониторинг устройств с чувствительными данными. Если ноутбук потерян или украден, скорость реакции решает почти всё.

Практический чек-лист

  • Проверьте, включён ли у вас BitLocker и какой режим защиты он использует.
  • Добавьте PIN к TPM, если ноутбук хранит важные данные.
  • Убедитесь, что Windows 11 и компоненты системы обновлены.
  • Ограничьте хранение чувствительных файлов на ноутбуке без нужды.
  • Настройте двухфакторную аутентификацию для почты, облака и рабочих сервисов.
  • Подготовьте план действий на случай кражи или потери устройства.
  • Для рабочих машин проверьте, что политика шифрования совпадает с требованиями компании.

История с тремя уязвимостями показывает простую вещь: одна галочка «шифрование включено» ещё не равна защите. Без дополнительных настроек и дисциплины обновлений даже сильная технология оставляет слишком много шансов атакующему.

Поделиться: