كشفت مايكروسوفت عن طريقة تخفيف تعرض المستخدمين لثغرة أمنية في BitLocker، والتي عُرفت باسم YellowKey. تتيح هذه الثغرة تجاوز إجراءات الحماية، وقد تمت مشاركتها علنًا الأسبوع الماضي، مما حذا بالشركة إلى إصدار تحديث لتصحيحها.
تُعرف الثغرة حالياً بالرمز CVE-2026-45585، وتحمل درجة خطورة 6.8 حسب مقياس CVSS. تشير المعلومات المتوفرة إلى أنها تتمثل في إمكانية تجاوز ميزات الأمان لإمكانيات BitLocker في نظام التشغيل ويندوز.
مايكروسوفت تصدر تحديثاً لثغرة BitLocker المسماة YellowKey
أفادت مايكروسوفت في إعلان رسمي بوعيها بوجود ثغرة أمنية في نظام ويندوز، والتي تم تداولها علنًا تحت اسم “YellowKey”. وأوضحت الشركة أن نشر مفهوم الإثبات (Proof of Concept) لهذه الثغرة علنًا قد خالف ممارسات الإفصاح عن الثغرات المتفق عليها.
تؤثر هذه الثغرة على إصدارات ويندوز 11 (الإصدار 26H1، 24H2، و 25H2 لأنظمة x64)، بالإضافة إلى Windows Server 2025 ونسخته المثبتة على Server Core.
كيف تعمل ثغرة YellowKey؟
تم الكشف عن الثغرة من قبل باحث أمني يُدعى Chaotic Eclipse. ببساطة، تسمح الثغرة للمهاجم بوضع ملفات معدة خصيصاً، تُعرف باسم ‘FsTx’، على محرك أقراص USB أو قسم EFI. عند توصيل محرك الأقراص بجهاز ويندوز محمي بـ BitLocker، وإعادة تشغيل الجهاز والدخول إلى بيئة الاسترداد (WinRE)، يمكن للمهاجم تشغيل واجهة أوامر (shell) بصلاحيات كاملة.
وصف الباحث العملية قائلاً: “إذا تم تنفيذ كل الخطوات بشكل صحيح، ستظهر واجهة أوامر تمنح وصولاً غير مقيد إلى وحدة التخزين المحمية بـ BitLocker”.
تسمح هذه الثغرة، بحسب مايكروسوفت، للمهاجم الذي يملك وصولاً مادياً إلى الجهاز بتجاوز ميزة BitLocker Device Encryption والوصول إلى البيانات المشفرة.
إجراءات التخفيف الموصى بها
لتجنب مخاطر هذه الثغرة، قدمت مايكروسوفت عدة خطوات تخفيفية. تتضمن هذه الخطوات تحميل صورة WinRE على كل جهاز، ثم تحميل سجل النظام الخاص بالصورة. بعدها، يتم تعديل قيمة “BootExecute” في “Session Manager” بإزالة “autofstx.exe”.
بعد ذلك، يتم حفظ سِجل النظام وإلغاء تحميله، ثم إلغاء تحميل صورة WinRE وتثبيت التحديثات. أخيراً، يتم إعادة بناء الثقة في BitLocker لـ WinRE.
قال الباحث الأمني ويل دورمان: “يكمن التأثير الأساسي في منع أداة استرداد FsTx التلقائية، autofstx.exe، من البدء تلقائياً عند تشغيل صورة WinRE”. وأضاف: “هذا يمنع استعادة نظام الملفات NTFS التي تحذف ملف winpeshl.ini. كما تُوصي الشركة بالتحول من استخدام TPM فقط إلى TPM مع PIN.”
لجعل الأجهزة المشفرة حاليًا أكثر أمانًا، أوصت مايكروسوفت بتغيير إعدادات BitLocker من “TPM فقط” إلى “TPM + PIN”. هذا يفرض إدخال رمز PIN عند بدء التشغيل، مما يجعل هجمات YellowKey غير فعالة.
بالنسبة للأجهزة غير المشفرة، تنصح الشركة المسؤولين عن الأنظمة بتفعيل خيار “طلب مصادقة إضافية عند بدء التشغيل” عبر Microsoft Intune أو Group Policies. يجب أيضًا التأكد من ضبط “تكوين PIN بدء تشغيل TPM” على “طلب PIN لبدء التشغيل مع TPM”.