近期安全研究人員揭露了兩個影響 Windows 的嚴重零日漏洞,分別針對 BitLocker 全碟加密與 CTFMON 協作翻譯框架。這類漏洞對於維運工程師而言至關重要,因為它們直接挑戰了我們對硬體層級加密與作業系統權限隔離的信任。
BitLocker 繞過漏洞 YellowKey
BitLocker 是 Windows 內建的磁碟加密功能,旨在防止未經授權的人員在取得實體硬碟後讀取資料。通常我們認為只要開啟了 TPM(可信賴平台模組)或設定了啟動 PIN 碼,資料就是安全的。然而,名為 YellowKey 的漏洞證明了這種看法並不完全正確。
這個漏洞的核心在於 Windows 恢復環境 WinRE。WinRE 是系統在無法正常啟動時,用來修復問題的內建框架。YellowKey 利用了 WinRE 在處理特定檔案時的邏輯缺陷。攻擊者只需準備一個包含特製 FsTx 檔案(這是 NTFS 檔案系統用於處理交易記錄的機制)的 USB 隨身碟,將其插入目標電腦並進入 WinRE 模式,接著透過特定的按鍵組合(如 Ctrl 鍵)觸發,就能直接獲取一個具有管理權限的命令提示字元 cmd.exe。
最令人不安的是,由於該漏洞發生在 WinRE 啟動階段,即使使用者設定了 TPM 加密或 PIN 碼,依然無法阻止此攻擊。這意味著只要攻擊者能接觸到實體設備,就有機會在 BitLocker 解鎖狀態下直接存取檔案系統。
CTFMON 權限提升漏洞 GreenPlasma
另一個漏洞 GreenPlasma 則關注於權限提升 LPE。在 Windows 中,CTFMON 是負責處理輸入法與協作翻譯的框架。權限提升是指一名低權限的普通使用者,利用系統漏洞獲取更高權限(例如 SYSTEM 最高權限)的過程。
GreenPlasma 允許未經授權的使用者在由 SYSTEM 權限管理的目錄中,創建任意的記憶體區段物件。雖然目前公開的證明代碼 PoC 尚未完成完整的 SYSTEM Shell 獲取過程,但其潛在威脅在於:它可以操縱那些信任特定路徑的特權服務或驅動程式。對於工程師來說,這打破了作業系統最基本的權限邊界,讓低權限帳號可能變成系統最高管理者。
BitLocker 的降級攻擊風險
除了上述零日漏洞,近期另有關於 BitLocker 的降級攻擊分析。這種攻擊利用了 Secure Boot(安全啟動)的一個設計缺陷:安全啟動僅驗證執行檔的數位簽章是否有效,而不會驗證該版本是否為最新。
攻擊者可以將已知的舊版且有漏洞的 Boot Manager 寫入設備。即使系統已更新,但只要舊版檔案的簽章依然被信任,系統就會載入它。透過這種方式,攻擊者可以載入一個被修改過的 WinRE 映像檔,在五分鐘內繞過加密保護。
實務建議與防禦對策
面對這類底層漏洞,單純依賴軟體更新可能不足夠。針對實體存取風險,建議採取以下措施:
第一,強化啟動認證。雖然 YellowKey 挑戰了 TPM,但在面對降級攻擊時,設定啟動 PIN 碼(Pre-boot Authentication)依然是極其重要的防線。
第二,更新簽章憑證。針對降級攻擊,應將啟動管理員遷移至較新的 CA 2023 憑證,並撤銷舊有的 PCA 2011 憑證,以防止舊版漏洞檔案被載入。
第三,嚴格控制實體接觸。這類漏洞大多需要實體存取 USB 接口或 EFI 分區,因此在機房管理與設備存放上應採取物理隔離。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。