BitLocker چیست و چرا اهمیت دارد؟

در دنیای امروز که حجم زیادی از اطلاعات شخصی و سازمانی روی لپ‌تاپ‌ها، سرورها و سیستم‌های ویندوزی ذخیره می‌شود، محافظت از داده‌ها به یکی از مهم‌ترین موضوعات امنیت سایبری تبدیل شده است. شرکت‌ها، سازمان‌ها و حتی کاربران عادی به‌دنبال راهکارهایی هستند که بتواند اطلاعات آن‌ها را در برابر هکرها، سرقت فیزیکی دستگاه و حملات سایبری محافظت کند.

یکی از مهم‌ترین ابزارهایی که Microsoft برای افزایش امنیت اطلاعات در سیستم‌عامل ویندوز ارائه کرده، BitLocker است. این قابلیت که سال‌هاست در نسخه‌های حرفه‌ای ویندوز وجود دارد، وظیفه رمزگذاری اطلاعات ذخیره‌شده روی هارددیسک یا SSD را برعهده دارد. به زبان ساده، BitLocker اطلاعات سیستم را به‌گونه‌ای رمزگذاری می‌کند که اگر شخصی به‌صورت غیرمجاز به هارددیسک دسترسی پیدا کند، نتواند فایل‌ها را مشاهده یا استخراج کند. همین موضوع باعث شده بسیاری از شرکت‌ها و سازمان‌های بزرگ از BitLocker به‌عنوان بخشی از سیاست‌های امنیتی خود استفاده کنند.

BitLocker معمولا از ماژول TPM یا Trusted Platform Module برای محافظت از کلیدهای رمزنگاری استفاده می‌کند. در این حالت، هنگام روشن شدن سیستم، TPM وضعیت بوت را بررسی کرده و در صورت نبود تغییرات مشکوک، اجازه دسترسی به اطلاعات را صادر می‌کند. اما حالا یک آسیب‌پذیری جدید به نام YellowKey باعث نگرانی متخصصان امنیت سایبری شده است؛ زیرا می‌تواند بخشی از مکانیزم حفاظتی BitLocker را دور بزند.

آنچه در ادامه می‌خوانید:

آسیب‌پذیری YellowKey چیست؟

نحوه عملکرد حمله YellowKey چگونه است؟

چرا این آسیب‌پذیری اهمیت زیادی دارد؟

کدام نسخه‌های ویندوز آسیب‌پذیر هستند؟

مایکروسافت چه واکنشی نشان داده است؟

TPM + PIN چگونه از حمله جلوگیری می‌کند؟

نقش امنیت فیزیکی در مقابله با حملات سایبری

کلام آخر

سوالات متداول

آسیب‌پذیری YellowKey چیست؟

آسیب‌پذیری YellowKey که با شناسه CVE-2026-45585 و امتیاز ۶.۸ ثبت شده، نوعی Security Feature Bypass در BitLocker محسوب می‌شود. این حفره امنیتی به مهاجم اجازه می‌دهد با سوءاستفاده از محیط بازیابی ویندوز یا همان Windows Recovery Environment (WinRE)، به داده‌های رمزگذاری‌شده دسترسی پیدا کند.

نکته مهم اینجاست که این حمله نیازی به اینترنت، بدافزار یا حتی دانستن رمز عبور کاربر ندارد. تنها چیزی که مهاجم نیاز دارد، دسترسی فیزیکی به دستگاه هدف است. این آسیب‌پذیری توسط یک محقق امنیتی با نام Chaotic Eclipse منتشر شد و مدت کوتاهی بعد، مایکروسافت نیز نسبت به آن واکنش نشان داد.

نحوه عملکرد حمله YellowKey چگونه است؟

برخلاف بسیاری از حملات سایبری که از راه دور انجام می‌شوند، YellowKey یک حمله فیزیکی محسوب می‌شود. مهاجم باید به دستگاه قربانی دسترسی مستقیم داشته باشد. در این روش، مهاجم فایل‌های دستکاری‌شده‌ای با فرمت FsTx را روی یک فلش USB یا EFI قرار می‌دهد. سپس فلش به سیستم هدف متصل می‌شود و دستگاه ری‌استارت خواهد شد.

در ادامه، مهاجم وارد محیط WinRE می‌شود و با نگه داشتن کلید CTRL، فرآیندی را فعال می‌کند که در نهایت منجر به اجرای یک Shell با دسترسی کامل خواهد شد. در صورتی که حمله موفقیت‌آمیز باشد، مهاجم می‌تواند به اطلاعات رمزگذاری‌شده BitLocker دسترسی پیدا کند بدون اینکه نیاز به وارد کردن رمز عبور یا Recovery Key داشته باشد. همین موضوع باعث شده YellowKey به یکی از خبرسازترین تهدیدات امنیت سایبری در حوزه ویندوز تبدیل شود.

چرا این آسیب‌پذیری اهمیت زیادی دارد؟

شاید در نگاه اول تصور شود چون این حمله به دسترسی فیزیکی نیاز دارد، تهدید بزرگی نیست. اما متخصصان امنیت اطلاعات معتقدند این آسیب‌پذیری می‌تواند برای سازمان‌ها و شرکت‌ها بسیار خطرناک باشد.

امروزه بسیاری از کارمندان سازمان‌ها از لپ‌تاپ‌های رمزگذاری‌شده استفاده می‌کنند. در صورتی که دستگاهی گم شود یا به سرقت برود، انتظار می‌رود BitLocker مانع دسترسی به اطلاعات شود. اما YellowKey می‌تواند این لایه امنیتی را تا حد زیادی دور بزند.

از طرف دیگر، این حمله نیازی به نصب ابزار پیچیده ندارد و حتی بدون اتصال اینترنت نیز قابل اجرا است. به همین دلیل، کارشناسان امنیت سایبری آن را یک تهدید جدی برای امنیت فیزیکی و امنیت اطلاعات سازمانی می‌دانند.

کدام نسخه‌های ویندوز آسیب‌پذیر هستند؟

طبق اعلام مایکروسافت، نسخه‌های مختلفی از ویندوز تحت تأثیر این حفره امنیتی قرار دارند. سیستم‌های آسیب‌پذیر عبارتند از:

• نسخه‌های 24H2 ،25H2 و 26H1 از Windows 11

• Windows Server 2025

• Windows Server 2025 Server Core

این موضوع نشان می‌دهد حتی جدیدترین نسخه‌های ویندوز نیز می‌توانند در برابر آسیب‌پذیری‌های امنیت سایبری آسیب‌پذیر باشند.

مایکروسافت چه واکنشی نشان داده است؟

پس از انتشار عمومی جزییات YellowKey، مایکروسافت اعلام کرد که از این آسیب‌پذیری مطلع است و راهکارهایی برای کاهش خطر آن ارائه داده است. یکی از مهم‌ترین اقداماتی که مایکروسافت پیشنهاد کرده، جلوگیری از اجرای خودکار فایل autofstx.exe در محیط WinRE است.

برای این کار، مدیران سیستم باید فایل WinRE را Mount کرده و تنظیمات رجیستری مربوط به BootExecute را ویرایش کنند تا اجرای خودکار این فایل غیرفعال شود. هرچند این راهکار می‌تواند خطر حمله را کاهش دهد، اما مایکروسافت تأکید کرده بهترین روش مقابله با YellowKey استفاده از TPM + PIN است.

TPM + PIN چگونه از حمله جلوگیری می‌کند؟

بسیاری از سیستم‌ها از حالت TPM-only استفاده می‌کنند. در این روش، سیستم هنگام بوت تنها به ماژول TPM اعتماد می‌کند و نیازی به وارد کردن رمز یا PIN وجود ندارد. اما در حالت TPM + PIN، کاربر باید هنگام روشن شدن دستگاه یک کد امنیتی نیز وارد کند. این موضوع باعث می‌شود حتی اگر مهاجم بتواند به محیط WinRE دسترسی پیدا کند، بدون دانستن PIN قادر به باز کردن اطلاعات رمزگذاری‌شده نخواهد بود.

مایکروسافت توصیه کرده سازمان‌ها و کاربران حرفه‌ای هرچه سریع‌تر تنظیمات BitLocker را به TPM + PIN تغییر دهند.

نقش امنیت فیزیکی در مقابله با حملات سایبری

یکی از نکات مهمی که YellowKey دوباره به متخصصان یادآوری کرد، اهمیت امنیت فیزیکی در کنار امنیت سایبری است. بسیاری از سازمان‌ها تمرکز زیادی روی فایروال، آنتی‌ویروس و امنیت شبکه دارند، اما گاهی فراموش می‌کنند که دسترسی فیزیکی به دستگاه می‌تواند به‌اندازه حملات اینترنتی خطرناک باشد.

اگر یک مهاجم بتواند به لپ‌تاپ یا سرور دسترسی پیدا کند، ممکن است بتواند از ضعف‌های امنیتی مانند YellowKey سوءاستفاده کند. در چنین شرایطی، استفاده از راهکارهای Secure Kiosk یا « کیوسک امن » می‌تواند سطح حمله فیزیکی را به‌طور قابل توجهی کاهش دهد. کیوسک‌های امن با محدودسازی دسترسی کاربران به سیستم‌عامل، غیرفعال‌سازی پورت‌ها و قابلیت‌های غیرضروری، جلوگیری از اجرای فایل‌های ناشناس و اعمال سیاست‌های سخت‌گیرانه امنیتی، مانع سوءاستفاده مهاجمان از دسترسی فیزیکی به دستگاه می‌شوند. این راهکارها به‌ویژه در سازمان‌ها، مراکز درمانی، بانک‌ها، سیستم‌های خودکار و محیط‌های عمومی که دستگاه‌ها در معرض دسترسی مستقیم کاربران قرار دارند، نقش مهمی در محافظت از اطلاعات حساس و کاهش ریسک حملاتی مانند YellowKey ایفا می‌کنند. به همین دلیل، کارشناسان امنیت اطلاعات توصیه می‌کنند:

• دسترسی فیزیکی به دستگاه‌ها محدود شود
• لپ‌تاپ‌های سازمانی بدون نظارت رها نشوند
• احراز هویت چندمرحله‌ای فعال شود
• از جدیدترین آپدیت‌های امنیتی استفاده شود
• سیاست‌های امنیتی سازمان به‌روزرسانی شوند

کلام آخر

آسیب‌پذیری YellowKey نشان داد که حتی فناوری‌های امنیتی پیشرفته مانند BitLocker نیز ممکن است دارای نقاط ضعف باشند. این حمله سایبری اگرچه به دسترسی فیزیکی نیاز دارد، اما می‌تواند امنیت اطلاعات حساس را به خطر بیندازد. مایکروسافت تلاش کرده با ارائه راهکارهای امنیتی خطر این آسیب‌پذیری را کاهش دهد، اما همچنان مسئولیت اصلی برعهده کاربران و مدیران سیستم است تا تنظیمات امنیتی مناسب را فعال کنند.

فعال‌سازی TPM + PIN، به‌روزرسانی سیاست‌های امنیتی و محدود کردن دسترسی فیزیکی به دستگاه‌ها می‌تواند تا حد زیادی از سوءاستفاده مهاجمان جلوگیری کند.

سوالات متداول

۱. آسیب‌پذیری YellowKey چیست؟

YellowKey یک آسیب‌پذیری امنیتی در BitLocker ویندوز است که می‌تواند فرآیند رمزگذاری اطلاعات را از طریق محیط بازیابی ویندوز دور بزند.

۲. آیا این حمله از راه دور انجام می‌شود؟

خیر. مهاجم برای اجرای حمله نیاز به دسترسی فیزیکی به دستگاه هدف دارد.

۳. آیا BitLocker دیگر امن نیست؟

BitLocker همچنان یکی از بهترین ابزارهای رمزگذاری ویندوز محسوب می‌شود، اما مانند هر فناوری دیگری ممکن است دارای ضعف‌های امنیتی باشد.

۴. بهترین راه مقابله با YellowKey چیست؟

استفاده از حالت TPM + PIN و غیرفعال کردن اجرای autofstx.exe در WinRE مهم‌ترین راهکارهای امنیتی هستند.

۵. کدام کاربران بیشتر در خطر هستند؟

سازمان‌ها، شرکت‌ها و کاربرانی که اطلاعات حساس روی لپ‌تاپ‌های رمزگذاری‌شده نگهداری می‌کنند، بیشتر در معرض خطر این حمله قرار دارند.