Cybred
@cybred
YellowKey
Это 0day от Nightmare-Eclipse, который обходит BitLocker всего с помощью пары файлов на флешке.
И за последние годы это уже пятый подобный эксплоит. Предыдущими были CVE-2022-41099, CVE-2023-21563, CVE-2024-20666 и CVE-2025-48804. А о bitpixie у меня даже был отдельный пост.
И что я заметил, так это то, что все они сильно похожи, потому что эксплуатируют один и тот же компонент — а именно WinRE (среда восстановления Windows). И это не случайно.
Секрет на скриншоте. В случае с YellowKey, винда ищет в файлах на флешке нужные флаги, отвечающие за включение "test mode". А дальше система просто позволяет скипнуть битлокер и дать шелл к расшифрованному диску.
Microsoft оставила в WinRE столько debug-кода, что он уже несколько лет порождает криты, и это далеко не последний.
Это 0day от Nightmare-Eclipse, который обходит BitLocker всего с помощью пары файлов на флешке.
И за последние годы это уже пятый подобный эксплоит. Предыдущими были CVE-2022-41099, CVE-2023-21563, CVE-2024-20666 и CVE-2025-48804. А о bitpixie у меня даже был отдельный пост.
И что я заметил, так это то, что все они сильно похожи, потому что эксплуатируют один и тот же компонент — а именно WinRE (среда восстановления Windows). И это не случайно.
Секрет на скриншоте. В случае с YellowKey, винда ищет в файлах на флешке нужные флаги, отвечающие за включение "test mode". А дальше система просто позволяет скипнуть битлокер и дать шелл к расшифрованному диску.
Microsoft оставила в WinRE столько debug-кода, что он уже несколько лет порождает криты, и это далеко не последний.
70 2K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram