微软BitLocker加密技术曝出零日漏洞，无需密钥即可破解

日本网络安全研究团队“Nightmare-Eclipse”近日公开了一项针对微软BitLocker加密技术的零日漏洞利用工具“YellowKey”。该漏洞允许攻击者在无需输入恢复密钥的情况下，仅凭USB驱动器中的特定文件即可访问受BitLocker保护的Windows系统磁盘。与此同时，另一项名为“Greensma”的提权漏洞也被披露，可能进一步导致SYSTEM权限被获取。这一发现不仅暴露了Windows恢复环境在物理安全层面的潜在缺陷，也再次敲响了企业数据安全的警钟。

此次公开的YellowKey漏洞利用了Windows恢复环境（WinRE）中的组件行为差异。当攻击者对目标计算机拥有物理访问权限并启动Windows恢复环境时，插入存有特定文件的USB驱动器会触发异常处理流程。该流程并非通过数学手段破解BitLocker加密算法，而是利用恢复环境中同名但与正常Windows环境行为不同的组件，间接打开受保护卷的访问通道。这种机制类似于在系统中留有一条隐蔽的后门，使得原本严密的磁盘加密防线形同虚设。

受影响的主要系统包括Windows 11、Windows Server 2022以及Windows Server 2025，而Windows 10目前不在影响范围内。Nightmare-Eclipse指出，恢复环境中的相关组件存在异常行为，使其感觉如同“后门”一般。科技媒体Tom's Hardware在自行复现测试后证实，确实可以在不输入任何密钥的情况下访问BitLocker保护的驱动器。此外，该漏洞利用工具在执行后会从USB中自动删除相关文件，这种隐蔽且非自然的操作方式进一步加剧了安全专家的担忧。

除了YellowKey，Nightmare-Eclipse还披露了名为“Greensma”的另一项零日漏洞。该漏洞针对Windows文字输入进程CTFMON.exe，旨在实现权限提升。尽管目前公开的概念验证版本尚未完全获得SYSTEM级Shell，但安全媒体Cybernews分析认为，一旦理解其运作机制，攻击者极有可能将其发展为完整的提权工具。结合YellowKey对磁盘的访问能力，这可能导致敏感数据的大规模泄露。

鉴于BitLocker在Windows 11环境中已广泛部署，此次漏洞的影响范围不容忽视。虽然BitLocker依赖TPM（可信平台模块）存储密钥，防止了硬盘被直接移至其他电脑解密的风险，但在设备物理丢失或被盗的场景下，攻击者只需短暂接触设备即可绕过加密保护。Nightmare-Eclipse此前曾于2026年4月公开过两起与Windows Defender相关的提权漏洞，此次是其第三次公开披露。该研究员因与微软存在分歧，警告称未来可能继续公开更多漏洞，并暗示下一个“补丁星期二”将带来重大惊喜。