Zamčeno? Omyl. Nová zranitelnost Windowsu odemkne váš disk za 5 minut

BitLocker byl zamčený. YellowKey ho otevřel za pět minut.

Nová zranitelnost ve Windows 11 a Windows Serveru 2022 až 2025 zpochybňuje celou logiku šifrování disků. Co to znamená pro vaše data, vaše zaměstnance a vaši odpovědnost.

Zamčené auto, otevřené dveře

Představte si, že zamknete auto. Klíče máte u sebe. Alarm běží. Nikde žádné rozbité sklo. A přesto někdo sedí za volantem a listuje vaší taškou na zadním sedadle. Bez násilí. Bez stopy. Bez jediného nástroje.

Přesně tohle se v těchto dnech ukazuje jako možné s firemními notebooky chráněnými funkcí BitLocker. Je to šifrovací nástroj zabudovaný přímo do Windows. Microsoft ho desetiletí prezentuje jako garanci bezpečnosti firemních dat.

Nově objevená zranitelnost, která se neoficiálně šíří pod názvem YellowKey, umožňuje komukoli, kdo má fyzický přístup k vašemu zařízení, dostat se ke všem datům na disku. Bez hesla. Bez speciálního vybavení. Stačí USB disk za pár stovek korun a znalost pěti kroků.

Zatím neexistuje oprava. Zatím neexistuje ani oficiální CVE číslo, tedy standardní bezpečnostní registrace zranitelnosti, která normálně spustí záplaty od výrobce. Problém ale existuje. A funguje.

Co přesně se děje, bez technického žargonu

BitLocker šifruje obsah disku. To znamená, že i když někdo disk fyzicky vyjme z počítače, bez správného klíče vidí jen nesrozumitelná data. Jde o ochranu pro případ krádeže nebo ztráty zařízení. Po léta fungovala spolehlivě.

YellowKey tuhle ochranu obchází jinak. Nerozbíjí šifrování. Nevyjímá disk. Místo toho zneužívá způsob, jakým Windows startují v nouzovém režimu. Konkrétně funkci nazvanou Recovery Environment. Jde o záchranné prostředí, do kterého se počítač přepne při problémech, aby ho mohl správce opravit.

Útočník toto prostředí přiměje spustit vlastní kód z USB disku. Výsledkem je příkazový řádek s plným přístupem k celému obsahu počítače. BitLocker přitom tiše spolupracuje, protože si myslí, že jde o legitimní servisní zásah.

Celý postup trvá přibližně pět minut. Nevyžaduje žádné hluboké technické znalosti. Funguje na Windows 11 a Windows Serveru 2022 a 2025. Na Windows 10 nikoliv.

Co to znamená z pohledu GDPR a ochrany osobních údajů

Tato část by měla zajímat každého, kdo zpracovává osobní údaje. V dnešní době to je prakticky každá organizace.

GDPR ukládá povinnost přijmout technická a organizační opatření k ochraně osobních údajů. Šifrování je jednou z konkrétních metod, které Nařízení v článku 32 výslovně zmiňuje. Mnoho organizací si šifrování disků prostřednictvím BitLockeru zaškrtlo jako splněné opatření. V interní dokumentaci, hodnoceních rizik nebo zprávách pro správní rady ho uvádí jako doklad přiměřené úrovně zabezpečení.

YellowKey tuto argumentaci podkopává. Nikoliv proto, že BitLocker přestal fungovat jako technologie. Ale proto, že samotné šifrování disku nikdy nebylo dostatečné jako jediná obranná linie. GDPR vyžaduje přiměřená opatření s ohledem na rizika. A riziko fyzického přístupu k zařízení, ať jde o ztrátu, krádež, nedbalost nebo vnitřní hrozbu, bylo vždy součástí tohoto rizika.

Co to konkrétně znamená:

• Pokud vaši zaměstnanci pracují s osobními údaji na laptopech a odnášejí je mimo zabezpečené prostory, potřebujete víc než BitLocker.
• Pokud vaše hodnocení rizik nebo záznamy o zpracování uvádějí šifrování disku jako klíčové technické opatření bez dalších vrstev, je čas je přehodnotit.
• Pokud dojde k bezpečnostnímu incidentu a vy nebudete schopni doložit, že jste přijali přiměřená opatření odpovídající aktuálnímu stavu techniky, dozorový orgán to nebude hodnotit shovívavě. A YellowKey je od tohoto týdne součástí toho stavu.

DPO a právníci: tato informace patří do vašeho příštího interního přehledu. Nejde o paniku. Jde o to udržet dokumentaci a opatření v souladu s realitou.

Technický pohled: co přesně YellowKey dělá a jak se bránit

Tato část je určena bezpečnostním specialistům a IT administrátorům.

YellowKey zneužívá Recovery Environment Agent (WinRE) ve Windows 11 a Windows Serveru 2022 až 2025. Útočník připraví USB disk (NTFS, FAT32 nebo exFAT) s adresářem SystemVolumeInformation\FsTx, který přesměruje boot sekvenci. Kombinací Shift+Restart a okamžitého přidržení klávesy CTRL se otevře shell s plným přístupem k BitLocker svazku. Bez recovery klíče. Bez TPM ověření.

Bezprostřední kroky k ochraně:

• Zakázat boot z externích médií v BIOS/UEFI a nastavit heslo do firmware. Toto je v tuto chvíli nejefektivnější způsob, jak YellowKey zablokovat.
• Secure Boot musí být aktivní a správně nakonfigurovaný.
• Pre-boot autentizace znamená PIN nebo heslo před spuštěním Windows. Konfigurace využívající pouze TPM bez dalšího faktoru je u YellowKey zranitelná.
• Fyzická bezpečnost zařízení. Zní to banálně, dokud vám někdo nenechá notebook bez dozoru o dvě minuty déle, než byste čekali.
• EDR monitoring pro detekci nestandardního boot chování a přístupu k Recovery Environment.
• Zásady souladu zařízení v Microsoft Intune nebo SCCM zajistí, že zařízení bez platného certifikátu souladu nemá přístup k síťovým zdrojům.

Sledujte: MSRC (Microsoft Security Response Center) a NVD. CVE přijde. Patch pravděpodobně mimo standardní cyklus Patch Tuesday. Připravte se na urgentní nasazení.

Windows 10 je zatím nepostižená platforma. Pokud máte v síti mix verzí, je to dočasně paradoxní argument pro pomalejší migraci na Windows 11, dokud výše uvedená opatření nejsou zavedena.

Bezpečnost není produkt. Je to schopnost.

YellowKey je dobrým příkladem toho, co bezpečnostní komunita ví a čemu se firmy brání uvěřit. Bezpečnost není stav, který jednou nastavíte a zapomenete na něj. Je to kontinuální proces. Útočníci se nevzdávají. Jen přecházejí na jiný vstupní bod.

BitLocker nezlyhal jako technologie. Zlyhal jako jediné opatření v prostředí, kde fyzický přístup k zařízení není ošetřen. To je procesní problém, nikoliv technický.

Jak vypadají lidé, kteří tohle vědí dřív než ostatní

Pracují v organizacích, kde se na bezpečnost dívají systémově. Rozumějí tomu, jak útočník uvažuje. Vědí, co hledat, co zablokovat a jak o tom mluvit s vedením, právním oddělením i s dodavateli.

Přesně tohle učí kurzy CEH (Certified Ethical Hacker) od EC-Council a CompTIA CySA+, které TAYLLORCOX campus vede jako akreditované programy s certifikační zkouškou v ceně.

CEH jde do hloubky útočného myšlení: penetrační testování, analýza zranitelností, reakce na incidenty. CySA+ se zaměřuje na detekci hrozeb, behaviorální analýzu a bezpečnostní operace. Oba kurzy pracují s aktuálními případy z praxe. YellowKey by byl na hodině jen dalším příkladem. A takových příkladů máme desítky.

Nejde o teorii pro teorii. Jde o to, aby lidé ve vaší organizaci dokázali tuhle zprávu přečíst, okamžitě vyhodnotit dopad a říct vám, co přesně máte udělat dnes odpoledne.

Nejbližší termíny běží. Místa ubývají.

Výmluvy zůstanou. Data nemusí. Přihlaste se ještě dnes!