BitLocker violato con una chiavetta USB: scoperto un exploit zero-day su Windows
L'exploit YellowKey permette di accedere ai dati cifrati sfruttando una falla nell'ambiente di ripristino. Una minaccia concreta che mette a nudo la fragilità della protezione fisica di Windows.
- Una nuova vulnerabilità chiamata YellowKey consente di bypassare BitLocker usando una chiavetta USB e accesso fisico al dispositivo.
- YellowKey colpisce soprattutto Windows 11 e versioni server, mentre GreenPlasma permette escalation di privilegi sfruttando CTFMon.
- Senza patch ufficiali si raccomandano password BIOS, installazione rapida delle patch, TPM+PIN e monitoraggio dei log di accesso.
Una nuova vulnerabilità denominata YellowKey permette di bypassare la crittografia BitLocker di Windows semplicemente utilizzando una chiavetta USB durante il riavvio, esponendo i dati sensibili di milioni di utenti, senza necessità di inserire chiavi di ripristino o PIN.
- BitLocker di Windows
- Come funziona YellowKey
- Il rischio per Windows 11 e i server
- Oltre la crittografia: GreenPlasma
- Consigli pratici per la sicurezza
BitLocker di Windows
La sicurezza informatica vive di equilibri sottili, ma a volte basta un ricercatore particolarmente motivato per far crollare certezze che si credevano granitiche.
È il caso di Chaotic Eclipse, un esperto di sicurezza che, in seguito a divergenze con Microsoft sulla gestione di alcune segnalazioni, ha deciso di rendere pubblici nuovi exploit “zero-day”.
Tra questi, il più preoccupante è certamente YellowKey, un metodo che rende la protezione BitLocker di Windows quasi del tutto inefficace in presenza di un accesso fisico al dispositivo.
Come funziona YellowKey
Il meccanismo alla base di questo exploit è di una semplicità disarmante, il che lo rende paradossalmente più pericoloso di attacchi complessi via rete.
Per rendere BitLocker violato, l’attaccante deve avere accesso fisico al computer e una comune chiavetta USB. Il procedimento prevede la copia di alcuni file specifici (contenuti nella cartella “FsTx”) all’interno della directory di sistema della chiavetta.
Una volta inserito il supporto, basta avviare il PC nell’ambiente di ripristino di Windows e seguire una combinazione di tasti specifica durante il reboot.
Il risultato è l’apertura automatica di una riga di comando con privilegi elevati. Da qui, l’intero contenuto del disco fisso, che dovrebbe essere protetto dalla cifratura di Microsoft, diventa accessibile in lettura e scrittura.
Non viene richiesta alcuna password, nessun codice di sblocco e nessuna interazione con il chip TPM, ovvero il cuore della sicurezza hardware dei PC moderni.
Il rischio per Windows 11 e i server
Secondo quanto riportato dai test effettuati da testate di settore, l’efficacia di YellowKey è confermata su diverse versioni del sistema operativo.
Sebbene Windows 10 sembri al momento immune, la vulnerabilità colpisce duramente Windows 11, dove BitLocker è spesso attivo di default, e le versioni Windows Server 2022 e 2025.
Il fatto che anche i sistemi server siano esposti alza l’asticella del rischio. In un contesto aziendale, un malintenzionato con accesso fisico alla macchina potrebbe compromettere sia i file locali, sia l’intera infrastruttura gestita dal server.
Inoltre, Chaotic Eclipse ha menzionato l’esistenza di una variante dell’exploit capace di superare anche le configurazioni che prevedono l’accoppiata TPM e PIN, sebbene i dettagli di quest’ultima versione non siano ancora stati divulgati completamente.
Oltre la crittografia: GreenPlasma
Il pacchetto di vulnerabilità rilasciato dal ricercatore non si ferma alla sola archiviazione. Infatti, esiste un secondo exploit chiamato GreenPlasma, che si concentra sulla cosiddetta “escalation dei privilegi”.
In poche parole, questo bug permette a un utente comune, o a un software malevolo già presente nel sistema, di ottenere i poteri di “System”, ovvero il livello di controllo massimo, persino superiore a quello di un amministratore standard.
GreenPlasma agisce manipolando il processo CTFMon, un componente storico di Windows legato alla gestione dell’input. Attraverso una gestione sapiente della memoria condivisa, l’exploit riesce a saltare i controlli di accesso di Windows.
È una situazione critica: se YellowKey permette di rubare i dati da un PC spento o rubato, GreenPlasma consente di prendere il controllo totale di un sistema mentre è in funzione.
Consigli pratici per la sicurezza
Al momento Microsoft non ha ancora rilasciato una patch ufficiale per YellowKey o GreenPlasma. Questa fragilità evidenzia quanto sia vulnerabile la sicurezza fisica in un mondo mobile: un laptop smarrito in aeroporto può costare milioni in dati sensibili.
Per i privati e le aziende, è fondamentale adottare una filosofia “zero-trust” e non fidarsi ciecamente nemmeno di dispositivi ritenuti sicuri.
Per mitigare i rischi, è caldamente consigliato proteggere il BIOS con una password robusta e assicurarsi di installare i “Patch Tuesday” entro 48 ore dal rilascio.
Sebbene l’exploit tenti di aggirarlo, l’uso di BitLocker combinato con PIN e TPM resta una barriera necessaria, così come il monitoraggio dei log di accesso fisico.
Per le organizzazioni, YellowKey trasforma un semplice furto in un grave breach di dati: implementare policy con tracciamento GPS e crittografia multi-fattore è una necessità per sopravvivere a queste nuove minacce.
FAQ
YellowKey è un exploit che permette di bypassare BitLocker con una semplice chiavetta USB e accesso fisico, esponendo i dati senza richiedere PIN o chiavi di ripristino.
L'attaccante copia file specifici nella chiavetta (cartella FsTx), avvia il PC in ambiente di ripristino e usa una combinazione di tasti per ottenere una shell con privilegi elevati.
Colpisce soprattutto Windows 11 e Windows Server 2022/2025; Windows 10 sembra immune al momento.
GreenPlasma è un altro exploit che permette escalation di privilegi manipolando il processo CTFMon per ottenere diritti di "System".
Proteggere il BIOS con password, applicare patch tempestivamente, mantenere TPM+PIN, monitorare log di accesso fisico e usare policy come tracciamento GPS e crittografia multifattore.
