Компания Microsoft заявила, что рассматривает возможность выпуска исправления для уязвимости нулевого дня под кодовым названием YellowKey, которая позволяет злоумышленникам, получившим доступ к устройству под управлением Windows, обойти защиту шифрования Bitlocker и читать/записывать файлы. Об этой уязвимости стало известно на прошлой неделе, и уже существует общедоступный рабочий образец (proof of concept).
Во вторник компания выпустила рекомендацию, в которой говорится, что компаниям следует принять меры для смягчения последствий проблемы, отслеживаемой как CVE-2026-45585, пока она изучает возможность создания патча. В своей рекомендации компания предоставила немедленные шаги, которые должны предпринять компании. Ключевым средством защиты от возможной атаки является ограничение доступа к уязвимым устройствам, поскольку для эксплуатации требуется физический доступ.
«Организациям следует начать с аудита своей среды на предмет условий, которые делают их уязвимыми перед YellowKey», — заявил Эрик Гренье, старший директор-аналитик Gartner. «Они также должны четко понимать свою допустимую степень риска в случае утери/кражи устройства и, исходя из этого принятия риска (или его непринятия), следовать таким шагам, как настройка Secure Boot и обеспечение целостности прошивки и загрузочного сектора».
Карл Фосааен, вице-президент по исследованиям в кибербезопасной компании NetSPI, согласился с этим. «Поскольку для эксплуатации этой уязвимости требуется физический доступ, организациям следует сосредоточиться на мерах физической безопасности вокруг своих устройств Windows», — сказал он. «Наличие строгих политик и мер контроля в отношении физического доступа к устройствам — это хороший первый шаг в защите потенциально уязвимых устройств. Если существуют дополнительные опасения по поводу того, что злоумышленники смогут получить доступ к файлам в системе, организации могут рассмотреть возможность ограничения данных, которые они разрешают пользователям хранить локально».
Одна из проблем, с которыми сталкиваются компании, — это широкое распространение мобильных устройств среди сотрудников, что затрудняет для организаций ограничение доступа к ним. «Все чаще компании используют корпоративные данные на своих ноутбуках, а YellowKey может оставить эти данные незащищенными», — отметил Натан Дэвис-Уэбб, ведущий консультант британской компании по безопасности Acumen. Здесь в игру вступают строгие политики безопасности устройств, например, запрет пользователям оставлять устройства без присмотра.
Однако, по словам Фосааена, то, что делает обнаружение атаки особенно трудным для рядового пользователя, заключается в том, что факт того, что устройство стало целью атаки, не очевиден немедленно. «Если злоумышленник использовал эксплойт для чтения файлов из зашифрованного тома, у пользователя, вероятно, не будет никаких индикаторов. Если злоумышленник внедрил вредоносное ПО, вы можете заметить повышенную загрузку системы или другие проблемы с производительностью», — отметил он.
Что еще хуже, существует вероятность, что рекомендации Microsoft по смягчению последствий могут оказаться неэффективными. В сообщении на сайте по безопасности исследователь Уилл Дорманн указал, что может существовать способ обойти предложенное компанией решение. В таком случае ИТ-менеджеры, безусловно, будут ждать патча от Microsoft.
Хотя Microsoft объявила, что изучает возможность выпуска такого исправления, Дэвис-Уэбб не считает, что решение будет простым. «Я бы предположил, что это нечто, заложенное по замыслу», — сказал он. «Microsoft будет размышлять: «Если я это остановлю, что я уберу?». Я очень подозреваю, что в Windows есть какая-то функциональность, возможно, связанная с производством, которая может быть затронута любым патчем».
«Кроме того, — добавил он, — выпуск патча может занять некоторое время. Уязвимость RedSun [в Windows Defender] была обнаружена в прошлом месяце, и до сих пор не исправлена».
Эта статья изначально была опубликована на Computerworld.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Maxwell Cooter
