בעולם שבו הגנת הפרטיות הפכה לאחד מעמודי התווך של חוויית המחשוב המודרנית, גילויים על פרצות אבטחה הם עניין שבשגרה. אולם, מה שקרה בשבועות האחרונים סביב מנגנון ה-BitLocker של חברת Microsoft הוא לא פחות מרעידת אדמה טכנולוגית. חוקר אבטחה המכונה Chaotic Eclipse (או בשמו השני Nightmare-Eclipse) החליט לשבור את הכלים ולחשוף פרצת Zero-day חמורה במיוחד, שמאפשרת לפתוח כוננים מוצפנים בקלות בלתי נתפסת.
הפרצה החדשה, שזכתה לשם YellowKey, מדגימה כיצד ניתן לעקוף את מנגנוני ההצפנה המתקדמים ביותר של Windows 11 באמצעות כמה קבצים פשוטים על גבי זיכרון נייד (USB Stick). הסיפור הזה הופך למרתק עוד יותר כשמבינים את הרקע שלו: זוהי לכאורה נקמה של חוקר אבטחה שחש כי החברה התעלמה מדיווחיו הקודמים. לאחר שפרסם בעבר את הפרצות BlueHammer ו-RedSun, שהעניקו הרשאות מנהל מערכת דרך Windows Defender, הוא מכה שנית עם פגיעה ישירה בלב ליבה של הצפנת המידע.
פשוט בצורה מפחידה: כך עובד ה-YellowKey
התהליך שמתאר Chaotic Eclipse נשמע כמעט כמו קסם שחור עבור כל מי שמכיר את המורכבות של הצפנת AES שבה משתמש ה-BitLocker. כדי להפעיל את האקספלויט, כל מה שצריך הוא זיכרון נייד סטנדרטי עם גישת כתיבה לתיקיית "System Volume Information". החוקר מסביר שיש להעתיק תיקייה בשם "FsTx" עם תכולתה לתוך הדיסק-און-קי, ומשם הדרך לפריצה מלאה קצרה במיוחד.
המשתמש (או התוקף) מבצע אתחול למערכת תוך לחיצה על Shift כדי להגיע ל-Windows Recovery Environment. בשלב מסוים הוא עובר להחזיק את מקש ה-Control, והמחשב פשוט "מוותר". במקום לבקש את מפתח השחזור הארוך והמורכב של BitLocker, המערכת פשוט זורקת את המשתמש לשורת פקודה (Command Line) עם הרשאות גבוהות וגישה מלאה לכל המידע שבכונן המוצפן. אין צורך בסיסמאות, אין צורך במפתחות, ואין שום מחסום שעומד בפני המידע הרגיש שלכם.
האם מדובר ב"דלת אחורית" מכוונת?
אחד הפרטים המטרידים ביותר בפרצת ה-YellowKey הוא ההתנהגות של הקבצים לאחר השימוש. לפי הדיווחים, לאחר שהאקספלויט מופעל פעם אחת, הקבצים על גבי הזיכרון הנייד פשוט נעלמים, מה שמעלה תהיות כבדות בנוגע למקור הפרצה. חוקרי אבטחה רבים תוהים האם מדובר בפרצה מקרית בקוד של Microsoft, או שמא מדובר ב"דלת אחורית" (Backdoor) שהוטמעה במערכת לצרכים של גופי ביון או ממשלים, וכעת נחשפה לעיני כל.
הפגיעות הזו חמורה במיוחד לאור העובדה ש-BitLocker מופעל כברירת מחדל במיליוני מחשבים ברחבי העולם, במיוחד מאז השקת Windows 11. המערכת אמנם מסתמכת על שבב ה-TPM המותקן על לוח האם כדי לשמור את מפתחות ההצפנה, אך ה-YellowKey מוכיח שגם השילוב בין חומרה לתוכנה אינו חסין. לפי החוקר, גם הגדרות מחמירות של TPM-and-PIN לא בהכרח עוזרות, שכן קיימת גרסה של הפרצה שמתמודדת גם איתן.
GreenPlasma: כשהשרתים שלכם בסכנה
בנוסף ל-YellowKey, חשף החוקר פרצה נוספת בשם GreenPlasma, שמתמקדת בהעלאת הרשאות מקומית (Local Privilege Escalation). בעוד שהפרצה הראשונה נועדה לגניבת מידע פיזית ממחשבים ניידים או נייחים, GreenPlasma מיועדת להשתלטות על המערכת מבפנים. היא מנצלת את תהליך ה-CTFMon של Windows כדי לתמרן אובייקטים בזיכרון המערכת ולעקוף בקרות גישה רגילות.
המשמעות של GreenPlasma היא קריטית עבור סביבות עבודה מבוססות שרתים, כמו Windows Server 2022 ו-Windows Server 2025. תוקף שיש לו גישה למשתמש פשוט בשרת יכול להשתמש בפרצה זו כדי לקבל גישת SYSTEM – רמת ההרשאה הגבוהה ביותר האפשרית. משם, הדרך להשתלטות על נתוני כל המשתמשים בשרת קצרה מאוד. מדובר בסיוט עבור מנהלי מערכות IT, שכן הפרצה הזו מאפשרת לעקוף את כל שכבות ההגנה המודרניות שהוטמעו במערכת ההפעלה.
הנקמה של המהנדס המשועמם
הסיפור שמאחורי הפרצות הללו הוא כמעט הוליוודי. Chaotic Eclipse הצהיר בגלוי כי המניע שלו הוא התסכול מהתנהלותה של Microsoft. לטענתו, הוא דיווח על פרצות קודמות בצורה מסודרת, אך צוות האבטחה של החברה ביטל את דבריו וזלזל בממצאים. "שום סכום כסף לא יעמוד ביני לבין הנחישות שלי נגד מיקרוסופט", כתב החוקר, והוסיף כי יכול היה למכור את המידע הזה תמורת סכומי עתק בשוק השחור.
נכון לעכשיו, בעוד שהפרצה הישנה יותר BlueHammer כבר זכתה לתיקון, לגבי YellowKey ו-GreenPlasma המצב לוט בערפל. החברה טרם שחררה תגובה רשמית או עדכון אבטחה שחוסם את הפרצות הללו לחלוטין. עבור המשתמש הביתי, ובמיוחד עבור גיימרים שמשקיעים בחומרה היקרה ביותר ובמערכות High-end, מדובר בתזכורת כואבת לכך שביטחון דיגיטלי הוא לעיתים אשליה בלבד.
סיכום: האם עלינו לחשוש?
הגילויים האחרונים מציבים סימן שאלה גדול מעל הדרישה של Microsoft לשימוש חובה בשבב TPM עבור Windows 11. אם מנגנון ה-BitLocker, שאמור להיות המגן האחרון על המידע שלנו, נפרץ בעזרת קבצים פשוטים על USB, ייתכן שכל ארכיטקטורת האבטחה של המערכת זקוקה לחשיבה מחדש. עד שיופץ עדכון אבטחה רשמי, מומלץ לכל מי שמחזיק מידע רגיש במיוחד לשקול פתרונות הצפנה חיצוניים ולא להסתמך אך ורק על כלי המערכת המובנים.
בינתיים, קהילת חובבי הטכנולוגיה והחומרה ממשיכה לעקוב בעניין אחרי הדו-קרב שבין החוקר לבין ענקית התוכנה. האם נראה בקרוב פתרון שיחסום את ה-YellowKey? או שמא נגלה עוד פרצות Zero-day שימשיכו להביך את מי שאמורה לשמור על המחשבים שלנו בטוחים? דבר אחד בטוח – בעולם האבטחה, כפי שמוכיח Chaotic Eclipse, אין דבר כזה "מבצר בלתי חדיר".
התחבר כדי להגיב