YellowKey: come una chiavetta USB aggira la protezione BitLocker di Windows

Un attaccante con accesso fisico a un computer Windows 11 può aggirare completamente BitLocker, la protezione di crittografia di Microsoft, usando semplicemente una chiavetta USB e pochi file. La vulnerabilità, scoperta dal ricercatore di sicurezza Nightmare-Eclipse e pubblicata da Tom's Hardware, è stata testata e confermata: funziona davvero, e per questo motivo è stata classificata come zero-day, cioè una falla sconosciuta a Microsoft fino alla divulgazione pubblica.

Chi ha scoperto il problema

Nightmare-Eclipse (noto anche come Chaotic Eclipse) è un ricercatore di sicurezza che negli ultimi mesi ha pubblicato diverse vulnerabilità critiche in Windows. Secondo le sue dichiarazioni, il Microsoft Security Response Center avrebbe ignorato o respinto le sue segnalazioni precedenti, spingendolo a divulgare pubblicamente questi exploit. YellowKey è la terza vulnerabilità zero-day che pubblica in pochi mesi, dopo BlueHammer e RedSun, entrambe relative a Windows Defender e all'elevazione dei privilegi.

Cosa è successo

La vulnerabilità sfrutta il Windows Recovery Environment (WinRE), l'ambiente di ripristino integrato in Windows 11. L'attacco funziona così: un malintenzionato prepara una chiavetta USB con file specifici (una struttura chiamata FsTx all'interno della cartella System Volume Information), quindi riavvia il computer in modalità di recupero. Quando WinRE avvia, interpreta questi file come componenti legittimi del volume e li carica come se fossero attendibili. In questo modo, l'ambiente di ripristino apre una shell con accesso completo ai dati protetti da BitLocker, senza dover rompere la crittografia.

Tom's Hardware ha testato l'exploit personalmente e confermato che funziona. I file utilizzati per l'attacco scompaiono dalla chiavetta dopo il primo utilizzo, un comportamento che ha spinto gli analisti a ipotizzare che si tratti di una backdoor intenzionale piuttosto che di un semplice bug.

Il problema riguarda principalmente i sistemi configurati con BitLocker in modalità TPM-only, dove il chip di sicurezza rilascia automaticamente le chiavi di crittografia se la catena di avvio corrisponde ai valori attesi. In questa configurazione, il processo di recupero diventa un punto debole: se WinRE considera attendibili componenti locali che non dovrebbero esserlo, l'intero sistema di protezione crolla.

Secondo il ricercatore, la vulnerabilità interessa Windows 11 e Windows Server 2022 e 2025, ma non Windows 10. Microsoft non ha ancora risposto pubblicamente alla segnalazione.

Perché è importante

BitLocker protegge milioni di dispositivi in tutto il mondo: computer aziendali, server governativi, laptop personali. In Windows 11, è abilitato per impostazione predefinita su molti sistemi. La vulnerabilità YellowKey è grave per almeno tre motivi.

Primo, il requisito di accesso fisico non è una protezione reale. Rubare un laptop o un desktop è relativamente facile rispetto a un attacco remoto. Una volta in possesso del dispositivo, un criminale ha tutto il tempo necessario per preparare una chiavetta USB e riavviare il computer. Per questo motivo, BitLocker è stato progettato proprio per proteggere i dati in caso di furto fisico.

Secondo, la falla non rompe la crittografia, ma la aggira. Questo significa che non è un problema matematico risolvibile con algoritmi più forti: è un difetto nel modo in cui Windows gestisce l'accesso ai dati protetti durante il recupero. Correggere questo tipo di vulnerabilità richiede una riprogettazione dei processi di avvio e non è una semplice patch.

Terzo, il comportamento dell'exploit (i file che scompaiono dopo l'uso) ha sollevato sospetti sulla natura della falla. Alcuni analisti suggeriscono che potrebbe non essere un bug accidentale, ma una backdoor inserita intenzionalmente. Tom's Hardware ha sottolineato come questo aspetto "solleva domande scomode di natura aziendale e politica".

Precedenti simili includono altre vulnerabilità zero-day in Windows scoperte negli ultimi mesi, ma YellowKey è particolarmente critica perché colpisce una funzione di sicurezza fondamentale su cui milioni di utenti e aziende si affidano.

Cosa aspettarsi

Nei prossimi giorni, l'attenzione si concentrerà sulla risposta di Microsoft. L'azienda dovrà rilasciare una patch, probabilmente tramite il prossimo Patch Tuesday (il secondo martedì del mese), oppure fornire una spiegazione pubblica sulla natura della vulnerabilità. Nel frattempo, gli amministratori di sistema dovrebbero verificare se i loro dispositivi utilizzano la modalità TPM-only di BitLocker e considerare configurazioni alternative come TPM + PIN, che potrebbero offrire una protezione aggiuntiva.

Un'altra questione aperta riguarda il conflitto tra il ricercatore e Microsoft. Se le segnalazioni precedenti di Nightmare-Eclipse sono state effettivamente ignorate, questo potrebbe influenzare la fiducia della comunità di sicurezza nei processi di divulgazione responsabile di Microsoft. Altre aziende tech potrebbero trovarsi di fronte a pressioni simili da parte di ricercatori frustrati.

Infine, è probabile che altre vulnerabilità simili in WinRE e nei processi di ripristino di Windows vengano scoperte e divulgate nei prossimi mesi, considerando l'attenzione che YellowKey ha generato.