ハクソク

世界を動かす技術を、日本語で。

Microsoft BitLocker – YellowKey ゼロデイ脆弱性

13時間前原文(tomshardware.com)

概要

  • セキュリティ研究者Chaotic Eclipseが新たな ゼロデイ脆弱性 を公開
  • BitLocker の重大な脆弱性「YellowKey」、および「GreenPlasma」を発表
  • YellowKeyは Windows Recovery Environment で簡単に発動可能
  • GreenPlasmaは SYSTEM権限 取得の可能性があるがPoCは未公開
  • Microsoftからの 公式対応 は現時点で発表なし

セキュリティ研究者Chaotic Eclipseによる新ゼロデイ脆弱性公開

  • セキュリティ研究者 Chaotic Eclipse(別名 Nightmare-Eclipse) によるWindows向けゼロデイ脆弱性の公開
    • 以前にも BlueHammerRedSun を公開し、Microsoftの対応に不満を表明
  • 今回新たに YellowKey (BitLockerの重大脆弱性)と GreenPlasma (SYSTEM権限取得の可能性)を発表

YellowKey:BitLockerの重大な脆弱性

  • YellowKey はBitLockerで暗号化されたドライブに 完全アクセス を許す脆弱性
    • USBメモリにファイルをコピーし、Windows Recovery Environmentで再起動するだけで発動
    • 実際の検証で 一度使用するとUSB内のファイルが消去 されるバックドア的挙動を確認
  • Windows Server 2022/2025 にも影響、 Windows 10 は対象外
  • BitLockerは Windows 11で標準有効、家庭・企業・政府機関でも広く利用
  • TPMとPINの組み合わせでも 未公開のバリアント で突破可能と主張
  • 企業・政治的観点からも 深刻なリスク を孕む脆弱性

GreenPlasma:SYSTEM権限取得の脆弱性

  • GreenPlasma は完全なPoCは未公開だが、 SYSTEMレベルの権限取得 が可能とされる
    • CTFMonプロセスを悪用し、 任意のメモリ領域 へアクセス
    • 一般ユーザーでもサーバー環境で 全データへのアクセス権 を取得可能
  • デスクトップだけでなく、 サーバー環境 での影響も重大

Microsoftの対応状況

  • YellowKeyGreenPlasma について現時点で 公式な声明なし
  • 過去の BlueHammer は既に修正済み、 RedSun も非公式に修正済みとの主張
  • セキュリティ研究者とMicrosoftの 信頼関係の課題

まとめ

  • BitLockerやWindowsの 暗号化・権限管理の信頼性低下
  • 企業・個人問わず データ保護対策の再検討 が必要
  • 今後の Microsoftの対応 と追加情報に注目

Hackerたちの意見

すごいね。MSはバックドアのせいで評判が大きく落ちるのかな?それとも、ほとんどの場所で必要不可欠だからあまり影響しないのかな?

EUがこれに関して分離を加速させるってことかな。

私が知る限りでは、実際に意図的な「バックドア」であるという具体的な証拠はないよ。

実際のバックドアじゃないよ。攻撃者は、リカバリーモードでWindowsを起動した後にWindowsを悪用する方法を見つけたんだ。デバイス上のファイルのセキュリティは、ユーザーが解除される前に攻撃者がアクセスできない状態であることに依存してる。だから、GrapheneOSみたいなOSは、初回起動時にUSBポートを無効にして、攻撃者の攻撃面を制限してるんだ。

ここ20年くらい、Microsoftの製品はバックドアがあるって思ってる人は多いと思うよ。スノーデンの暴露があったから、前からそうだったってことが明らかになったし。企業はMicrosoftを使うけど、バックドアがあっても関係ないと思ってるんだよね(だってテロリストや児童ポルノの関係者じゃないし、Bitlockerがバックドアでも召喚状には従うだろうし)。セキュリティやプライバシーを気にする個人は、他の場所にVeracryptドライブにデータを置くんだ。

誰もプライバシーのためにWindowsを使ってないと思うから、誰も気にしないんじゃないかな。

BitLockerの脆弱性はシンプルだけどめっちゃ危険だね。企業や個人は、デバイスを失ったときの情報保護にBitLockerを頼ってるのに。約束はしてるけど、Microsoftはセキュリティに本気じゃないみたい。もっと多くの企業が、WindowsやMicrosoftのプラットフォームに縛られるリスクを本当に理解するには何が必要なんだろう?

バグが「セキュリティに対して真剣じゃない」ってどういうこと?

RedSunとBluehammerは静かにパッチが当てられたけど、MicrosoftはCVEに対して何の反応もなく、研究者の功績も認めてない。これが問題なんだよね。Microsoftが悪いセキュリティプラクティスをして、それをうまくやり過ごそうとしている結果がこれ。研究者はTPM+PINをバイパスできる別のバージョンも用意していると主張していて、私はそれを信じざるを得ない。なぜ信じるかって? 3ヶ月で5つのゼロデイを同じ人が見つけるのは統計的にありえないから。誰かが本当にそのエクスプロイトを知っていて、Juan Saccoのレベルにいるんだろうね。

マイクロソフトはビットロッカーを真剣に扱ってないみたいだね。Windows 7の頃、WindowsインストーラーCDを入れてShift+F7かなんかを押すと、ドライブがロック解除された状態でシステムコマンドプロンプトが出てきたんだ。誰かが「インストーラーがビットロッカーを解除できるようにする」って言ったとき、すぐに「それなら、インストーラー全体がログイン画面と同じくらい安全でなきゃダメだよね」って思わなかったのかな?どうやらそうじゃなかったみたい。

記事の三段落目は、そこに簡単なバックドアが仕込まれているように聞こえるね。

こちらが主なソースです: https://deadeclipse666.blogspot.com/2026/05/two-more-public-... 他のリンク: https://github.com/Nightmare-Eclipse/YellowKey https://github.com/Nightmare-Eclipse/GreenPlasma

これが意図的なバックドアに見えると、2014年にTrueCryptが突然みんなにBitLockerに切り替えるよう勧めたことがますます気になるよね。この特定のバックドアはその時は存在しなかった(どうやらWin11だけみたい)けど、別のバックドアがあった可能性が高くなった気がする。もしTrueCryptが、バックドアがあるかもしれない暗号化に人々を切り替えさせるために潰されたのなら、なぜその後継のVeraCryptを存在させるの?オープンソースで独立監査も受けてるから、バックドアがあるべきじゃないはずなんだけど。

それを言うなんて面白いね… https://news.ycombinator.com/item?id=47690977

https://infosec.exchange/@wdormann/116565129854382214

緩和策:PINを使ってBitlockerを利用すること。 > (注:YellowKeyの著者は、PINが保護になるとは思っていない)

なんでこのスレッドの返信がこんなに少ないの? ほとんど新しいアカウントばっかりだし、何が起こってるの? 1) 「これは認証/特権昇格のバグで、Bitlockerの脆弱性じゃない」って言うのを見たけど、何が言いたいの? 2) 「攻撃者がTPM+PINをバイパスできるって警告してるのに、それは実際には真実じゃないし、彼が言いたいことでもない」ってのも。 3) 「これはバックドアだと結論を急ぐべきじゃない」 4) 「TPMだけのBitLockerは安全じゃないってことはもう知ってる」って言うけど、実際、多くの組織はそれに依存してるのに。

大手テック企業への批判を含む投稿には、こういう返信がつくのが普通だよね。ここではいつものことだから、読むのはスキップした方がいいよ。100%本物の返信が止まらないみたいだし。

  1. これらのシステムは自動復号用に設定されてるんだ。ロック解除とユーザーログインの間にWindowsを攻撃できれば、ファイルにアクセスできるのは明らかだよ。もしこれがその攻撃なら、ビットロッカー自体の欠陥ではないね。 2) 「見せて」って言うのは無理があるかな? 3) その通り、結論を急ぐべきじゃないね。 4) 知られていないわけじゃないけど、攻撃の面では膨大な範囲があるってことだね。

ビットロッカーは、ハードウェアが最初から安全でないと基本的に役に立たないよ。ブートガードの実装がたくさんあるけど、証明書をハードウェアに組み込むから、OEMだけがブートできるファームウェアを作れるんだ。でも、これらの証明書が漏洩して、署名のあるすべてのハードウェアが危険にさらされた事例が少なくとも2回あったよ。他にもバイパス方法があるしね(ブートガードの中には「フラッシュ」ガードもあって、署名されたファームウェアしかフラッシュできないけど、SPI BIOSチップを直接フラッシュするのは止められない)。誰かがファームウェアのSMMモジュールをパッチして、ビットロッカーのロックアウトをトリガーせずにPCR値を保持するデモを見せてくれたことがあるんだ。つまり、ラップトップやデスクトップを分解してファームウェアをフラッシュするのに約2分あれば、外部からBIOSを書き込むことができるってこと。PIN認証がないと、ラップトップを盗むだけでデータを持ち出せるから、これが一番痛いよ。もしPINがあれば、ユーザーにブートさせる必要があって、その後ネットワーク経由でデータを持ち出すペイロードを落とすか、またラップトップを盗むことになる。復号鍵を暗号化されていないパーティションに書き戻したり、ディスクの最後のセクターを壊してそこに書き込むこともできるからね。* SMMを改造すると、ブートプロセスをパッチして悪意のあるペイロードをハイパーバイザーやカーネルに読み込むことができるよ。

ハードウェアが最初から安全でない限り HDD/SSDコントローラーで行われるハードディスク暗号化の大半は、ビットロッカー自体よりも100倍クソだよ。バグやセキュリティの脆弱性が山ほどある。これを使ってる人は頭おかしい。

完全に能力のある攻撃者を前提にすると、役に立たないってだけだよ。でも、それがすべての攻撃者じゃないからね。国家の攻撃者と対峙しているわけじゃないし、実際にはかなり素人な攻撃者もいるよ。「最も能力のある攻撃者に対抗できないなら、役に立たないからやらない方がいい」っていう考えはあまり役に立たないと思う。自転車の鍵は、十分なスキルと決意を持った人に数秒で切られるってわかってるけど、それでも自転車はロックするよ。

うわ、すごいニュースだね - バックドアがちょっと埋もれてる感じ。これらは非常に高価値な(ほぼ全部完成してる)エクスプロイトだと思う。市場での価値は天文学的だろうし、ロック解除をサービスとして使う法執行機関に最適だね。だから、オープンな開示には拍手を送りたいよ。

これは意図的だと思う、つまりバックドアであってバグじゃないってことは言っておくべきだね。政府機関にはすでにアクセスがあったわけだしね。

YellowKeyについて唯一疑問なのは、必要なファイルをコピーするために、すでにロック解除されたマシン(つまり、ユーザーがログインしている状態)にアクセスする必要があるのかってこと。

防げないよ。ファイルはリカバリーイメージにコピーされるだけで、マシンの暗号化されたドライブにはコピーされないから。

Redditで、パッチが当てられた場合に、既知の脆弱なWinREバージョンをドライブ(または別のドライブ)に書き込むことができるかどうかを聞いている人を見かけたんだけど。ビットロッカーやTPMについてはあんまり詳しくないんだけど、こういうことも防げるのかな?