YellowKey è una vulnerabilità particolarmente grave scoperta dal ricercatore Nightmare-Eclipse che consente di bypassare BitLocker, il sistema di crittografia integrato in Windows, ottenendo accesso completo ai volumi protetti.
Come funziona
L'exploit sfrutta un componente nascosto presente nell'immagine di Windows Recovery Environment (WinRE). Per sfruttarlo:
- Si copia una cartella
FsTxinSystem Volume Information\FsTxsu una chiavetta USB (NTFS, FAT32 o exFAT) - Si inserisce la chiavetta nel target e si riavvia in WinRE (SHIFT + Riavvia)
- Trattenendo CTRL durante il riavvio, viene spawnata una shell con accesso illimitato al volume BitLocker protetto
La cosa più inquietante? Non serve nemmeno una chiavetta: si possono copiare i file direttamente nella partizione EFI.
Funzionalità principali
- Bypass completo di BitLocker — accesso diretto ai dati senza la chiave di dekrittazione
- Colpisce solo Windows 11 — Server 2022 e 2025 inclusi; Windows 10 non è interessato
- Componente WinRE — il bug è causato da un componente presente solo nell'ambiente di recupero, ma con lo stesso nome anche nelle installazioni normali
- Facile da replicare — nessun tool complesso necessario, basta copiare file su USB
Perché è preoccupante
Il ricercatore nota che lo stesso componente esiste anche in un'installazione Windows normale ma senza le funzionalità che attivano il bypass. Questo ha fatto sorgere il sospetto che si tratti di qualcosa di intenzionale, quasi un backdoor. Al momento non ci sono spiegazioni ufficiali.
Il progetto ha già raccolto 1.600+ star su GitHub ed è stato divulgato pubblicamente con il supporto di MORSE, MSTIC e Microsoft GHOST.
