· Tomasz Siroń · Cyberbezpieczeństwo

BitLocker przestał być bezpieczny. Co powinna zrobić Twoja firma już teraz?

Spis treści

  1. Na czym polega luka YellowKey w BitLockerze?
  2. Które systemy Windows są podatne na exploit YellowKey?
  3. Co robić teraz? Checklist działań na najbliższe 48 godzin
  4. Alternatywy i uzupełnienia dla BitLockera
  5. Kiedy audyt bezpieczeństwa IT jest niezbędny dla zachowania ciągłości produkcji?
  6. FAQ

BitLocker przestał być bezpieczny. Co powinna zrobić Twoja firma już teraz?

BitLocker to wbudowane w Windows narzędzie do szyfrowania dysków, będące standardowym elementem infrastruktury firm produkcyjnych, usługowych i technologicznych działających na Windows 11 i Windows Server. 13 maja 2026 roku badacz bezpieczeństwa opublikował exploita o nazwie YellowKey, który pozwala otworzyć dysk chroniony BitLockerem przy pomocy zwykłego pendrive'a i restartu komputera, bez podawania jakiegokolwiek klucza. Redakcja Tom's Hardware zweryfikowała działanie exploita w praktyce: exploit działa. Z tego artykułu dowiesz się, czego dokładnie dotyczy luka, które systemy są narażone oraz jakie kroki możesz podjąć jeszcze dziś, zanim Microsoft wyda poprawkę. Tekst kierujemy przede wszystkim do administratorów IT i właścicieli firm, w których przechowywane są dane wrażliwe lub własność intelektualna.

Na czym polega luka YellowKey w BitLockerze?

BitLocker to mechanizm szyfrowania wbudowany w system Windows, który działa w oparciu o moduł TPM (Trusted Platform Module). W teorii zaszyfrowany dysk można otworzyć tylko na maszynie, na której został zaszyfrowany, lub po podaniu klucza odzyskiwania. YellowKey to exploit zero-day, który omija te zabezpieczenia całkowicie.

Podatność YellowKey jest opisywana przez odkrywcę jako "potencjalny backdoor", co wynika z faktu, że mechanizm umożliwiający ominięcie zabezpieczeń znajduje się wyłącznie w obrazie Środowiska Odzyskiwania Systemu Windows (WinRE) i nie posiada udokumentowanego uzasadnienia funkcjonalnego w standardowych procesach naprawczych. Analiza techniczna przeprowadzona przez niezależnych ekspertów, między innymi Willa Dormanna, wskazuje, że błąd tkwi w sposobie, w jaki WinRE obsługuje operacje na systemie plików NTFS podczas inicjalizacji środowiska.

Jak przebiega atak krok po kroku?

Sekwencja ataku jest następująca:

  • Atakujący kopiuje specjalny folder FsTx na pendrive'a (pliki dostępne publicznie od 13 maja 2026).
  • Podłącza nośnik USB do komputera ofiary i inicjuje restart do środowiska Windows Recovery Environment (WinRE).
  • Przytrzymuje klawisz Ctrl podczas restartu.
  • Maszyna uruchamia się ponownie i wyświetla okno wiersza poleceń z pełnym dostępem do odszyfrowanego dysku.

Co istotne: pliki z pendrive'a znikają po jednorazowym użyciu. Kilka niezależnych analityków zauważyło, że jest to zachowanie charakterystyczne dla tylnych furtek instalowanych świadomie, a nie przypadkowego błędu implementacyjnego.

Architektura wektora ataku i rola folderu FsTx

Kluczowym elementem ataku jest folder o nazwie FsTx, który musi zostać umieszczony w specyficznej lokalizacji na nośniku USB: \System Volume Information\FsTx. Alternatywnym wektorem, eliminującym potrzebę korzystania z wymiennych nośników, jest zapisanie tej struktury bezpośrednio na partycji systemowej EFI (ESP). Partycja ESP z definicji nie jest szyfrowana przez BitLocker i pozostaje dostępna dla każdego, kto może fizycznie wymontować dysk i podłączyć go do innego urządzenia. Oznacza to, że exploita można przeprowadzić nawet bez dostępu do portu USB ofiary, jeżeli atakujący ma możliwość krótkotrwałego otwarcia obudowy komputera.

Badacz opublikował również drugi exploit, GreenPlasma, który pozwala eskalować uprawnienia do poziomu SYSTEM nawet bez fizycznego dostępu do maszyny, poprzez manipulację procesem CTFMon. Na dzień publikacji (15 maja 2026) Microsoft nie wydał żadnej oficjalnej poprawki ani oświadczenia dotyczącego YellowKey ani GreenPlasmy.

Które systemy Windows są podatne na exploit YellowKey?

BitLocker jest włączony domyślnie na wszystkich urządzeniach z Windows 11. Oznacza to, że każdy laptop firmowy, stacja robocza i serwer z Windows 11 lub Windows Server 2022 albo 2025, na którym nie wymagano dodatkowego PIN-u TPM, jest potencjalnie podatny.

Tabela podatności według systemu operacyjnego

System operacyjny Podatny na YellowKey?
Windows 11 (wszystkie edycje) TAK (potwierdzony przez Tom's Hardware)
Windows Server 2022 TAK (potwierdzony przez badacza)
Windows Server 2025 TAK (potwierdzony przez badacza)
Windows 10 NIE (exploit nie działa)
Windows Server 2019 i starsze Nie potwierdzono (brak opublikowanego PoC)
Linux, macOS Nie dotyczy (inne mechanizmy szyfrowania)

Paradoks: Windows 10, zbliżający się do końca wsparcia w październiku 2025, nie jest podatny na YellowKey. Windows 11, promowany przez Microsoft jako bezpieczniejsza platforma i wymagający TPM 2.0 przy instalacji, jest podatny. Środowiska, które nie dokonały jeszcze migracji do Windows 11, są w tym konkretnym scenariuszu mniej narażone. Nie zmienia to ogólnego zalecenia dotyczącego aktualizacji, ale warto mieć świadomość tego paradoksu przy planowaniu priorytetów mitigacji.

Szczególnie narażone są firmy, w których pracownicy używają laptopów wyjeżdżających poza biuro: przedstawiciele handlowi, ekipy terenowe, kadra zarządzająca. Jeżeli takie urządzenie zostanie skradzione lub pozostawione bez nadzoru nawet na kilka minut, atakujący może uzyskać pełny dostęp do danych.

YellowKey stwarza ryzyko pełnego dostępu do danych na urządzeniach z systemem Windows 11 przy fizycznym dostępie do maszyny. W środowiskach produkcyjnych dodatkową powierzchnię ataku tworzą stacje robocze przy liniach produkcyjnych, komputery w halach i kioski operatorskie, które rzadko są pilnowane tak samo jak serwery w zamkniętej serwerowni.

Odrębną grupą ryzyka są urządzenia odsprzedane pracownikom lub na rynek wtórny. Powszechną, lecz błędną praktyką jest samo sformatowanie dysku przy przekazaniu laptopa, z założeniem, że był zaszyfrowany i dane są niedostępne. YellowKey obala to założenie: jeżeli nowy właściciel urządzenia przeprowadzi atak, może uzyskać dostęp do danych poprzedniego użytkownika. Prawidłowe wycofanie urządzenia wymaga pełnego skasowania klucza BitLockera i nadpisania dysku przed przekazaniem.

Co robić teraz? Checklist działań na najbliższe 48 godzin

Poniższe kroki nie wyeliminują luki (do tego potrzebna jest poprawka od Microsoftu), ale znacząco utrudniają lub uniemożliwiają jej wykorzystanie w Twoim środowisku.

1. Wyłącz Windows Recovery Environment (WinRE)

WinRE to brama, przez którą przechodzi exploit. Można ją zamknąć poleceniem uruchomionym jako administrator:

reagentc /disable

Wyłączenie WinRE utrudni także legalny odzysk systemu w razie awarii. Skonsultuj tę decyzję z administratorem przed wdrożeniem i upewnij się, że masz alternatywny mechanizm odzysku (np. bootowalne medium zewnętrzne).

2. Włącz PIN do BitLockera (tryb TPM+PIN)

Exploit ma działać nawet w trybie TPM+PIN, jednak badacz nie opublikował jeszcze pełnego PoC dla tego scenariusza. Włączenie PIN-u zwiększa barierę wejścia i jest rekomendowane przez Microsoft jako standard dla urządzeń mobilnych. Konfiguracja przez Group Policy: Komputer > Szablony administracyjne > Składniki systemu Windows > Szyfrowanie dysków BitLocker > Dyski systemu operacyjnego > Wymagaj dodatkowego uwierzytelniania przy uruchamianiu.

3. Zablokuj bootowanie z USB i zabezpiecz BIOS/UEFI hasłem

YellowKey wymaga podłączenia nośnika USB lub modyfikacji partycji EFI. Wymagane działania to dwa niezależne kroki, które razem tworzą skuteczną barierę:

  • Zmień kolejność bootowania w BIOS/UEFI tak, by dysk systemowy był jedynym aktywnym urządzeniem startowym.
  • Ustaw hasło administratora BIOS/UEFI. Bez tego hasła atakujący może w ciągu kilkudziesięciu sekund zresetować kolejność bootowania i podłączyć nośnik USB. Sam zakaz bootowania z USB bez hasła BIOS jest zabezpieczeniem pozornym.
  • Na urządzeniach z obsługą Secure Boot upewnij się, że funkcja jest aktywna i skonfigurowana prawidłowo.

4. Skontroluj fizyczny dostęp do maszyn

Priorytetowo zadbaj o blokady portów USB na urządzeniach pracujących w przestrzeniach ogólnodostępnych. W przypadku laptopów służących do pracy zdalnej rozważ politykę zarządzania urządzeniami (MDM) z wymuszonym szyfrowaniem i Secure Boot. Pamiętaj, że alternatywny wektor ataku (partycja EFI) wymaga jedynie krótkiego fizycznego dostępu do wnętrza obudowy, co dotyczy szczególnie maszyn stacjonarnych w halach produkcyjnych.

5. Zastosuj zasady Zero Trust dla urządzeń końcowych

Zasada Zero Trust (zerowego zaufania) zakłada, że żadne urządzenie nie jest z definicji zaufane, niezależnie od sieci, z której się łączy. W kontekście YellowKey oznacza to traktowanie każdego laptopa jako potencjalnie skompromitowanego i wymuszenie uwierzytelniania na poziomie zasobu, a nie wyłącznie na poziomie sieci. Konkretne działania w ramach Zero Trust to wdrożenie uwierzytelniania wieloskładnikowego (MFA) dla dostępu do zasobów, polityki zgodności urządzeń (device compliance) wymuszanej przez MDM przed przyznaniem dostępu, oraz ciągłej weryfikacji stanu urządzenia w czasie sesji.

6. Wdrożenie monitoringu anomalii (SIEM)

Wdrożenie systemu SIEM, na przykład Wazuh 4.x, pozwoli na szybkie wykrycie prób nieautoryzowanego dostępu, w tym uruchomień środowiska WinRE, nieoczekiwanych operacji na partycjach EFI i działań na portach USB w godzinach nieroboczych. Kluczowe reguły detekcji to alerty na wywołania reagentc.exe, zmiany w tablicy partycji i montowanie zewnętrznych nośników poza oknem aktualizacji.

7. Utrzymuj rygor aktualizacji systemu

Poprawka powinna pojawić się w nadchodzących zbiorczych aktualizacjach Windows. Skonfiguruj Windows Update na automatyczne pobieranie i instalację aktualizacji bezpieczeństwa lub ustaw harmonogram ręcznej kontroli co najmniej raz w tygodniu. Na dzień publikacji (15 maja 2026) poprawka nie jest dostępna. Monitoruj kanał Microsoft Security Response Center (MSRC) bezpośrednio pod adresem msrc.microsoft.com.

Alternatywy i uzupełnienia dla BitLockera

BitLocker pozostaje wystarczającym rozwiązaniem dla większości scenariuszy, jeżeli jest prawidłowo skonfigurowany i uzupełniony o dodatkowe mechanizmy kontroli. Dla środowisk wysokiego ryzyka warto rozważyć warstwy dodatkowe lub alternatywy eliminujące zależność od jednego komponentu.

Tabela: alternatywy i uzupełnienia BitLockera

Rozwiązanie Kiedy wdrożyć i co eliminuje
VeraCrypt (open source) Mechanizm eliminujący zależność od TPM i ekosystemu Microsoft. Rozwiązanie wspierające suwerenność technologiczną tam, gdzie vendor lock-in jest ryzykiem operacyjnym. Szyfrowanie odbywa się niezależnie od WinRE.
DLP (Data Loss Prevention) Uzupełnienie szyfrowania o kontrolę przepływu danych. Eliminuje ryzyko wycieku przez kanały inne niż fizyczny dostęp do dysku: e-mail, chmura, nośniki wymienne.
Szyfrowanie w warstwie aplikacji Granularna ochrona wybranych zbiorów danych (bazy danych, pliki finansowe). Niezależna od stanu systemu operacyjnego i mechanizmów odzysku.
Polityki MDM + Secure Boot + Zero Trust Architektura eliminująca zaufanie do urządzenia jako punktu wejścia. Wymusza konfigurację Secure Boot, szyfrowanie i zgodność urządzenia przed przyznaniem dostępu do zasobów firmowych.
Segmentacja sieci (VLAN) Ogranicza promień rażenia. Nawet przy uzyskaniu dostępu do jednej stacji atakujący nie ma automatycznie dostępu do całej sieci wewnętrznej ani zasobów produkcyjnych.

Żadne narzędzie szyfrujące nie zastąpi polityki bezpieczeństwa fizycznego. Dostęp do włączonej, zalogowanej maszyny to dostęp do danych, niezależnie od mechanizmu szyfrowania dysku.

Kiedy audyt bezpieczeństwa IT jest niezbędny dla zachowania ciągłości produkcji?

Luka YellowKey to dobry powód, by spojrzeć szerzej na stan bezpieczeństwa infrastruktury. Audyt bezpieczeństwa IT obejmuje przegląd konfiguracji szyfrowania, polityk dostępu, stanu aktualizacji, segmentacji sieci, konfiguracji BIOS/UEFI i fizycznej ochrony urządzeń.

Warto go przeprowadzić, jeśli:

  • Firma przechowuje dane osobowe, finansowe lub własność intelektualną na urządzeniach z Windows 11 lub Windows Server 2022 albo 2025.
  • Pracownicy używają laptopów poza siedzibą firmy lub urządzenia były przekazywane między użytkownikami bez pełnego wymazania dysku.
  • Ostatni przegląd bezpieczeństwa miał miejsce ponad 12 miesięcy temu.
  • Firma kwalifikuje się do wymogów NIS2 lub ma zobowiązania kontraktowe dotyczące ochrony danych.
  • Infrastruktura przejęta była od poprzedniego dostawcy IT i nie ma pewności co do aktualnej konfiguracji BIOS, WinRE i BitLockera.

W SparkSome realizujemy audyty bezpieczeństwa dla firm produkcyjnych i technologicznych z całej Polski. Pracujemy z Lublina i Krakowa, dojazd on-site następny dzień roboczy. Wynik audytu to nie raport PDF do szuflady, ale konkretna lista priorytetowych działań z estymacją kosztów naprawy.

Zamów audyt bezpieczeństwa IT

FAQ — najczęściej zadawane pytania o lukę YellowKey i BitLocker

Czy YellowKey działa zdalnie, przez internet?

Nie. Exploit wymaga fizycznego dostępu do maszyny i możliwości podłączenia nośnika USB lub modyfikacji partycji EFI. To nie jest atak sieciowy. Mimo to ryzyko jest realne: kradzież lub chwilowe zostawienie laptopa bez nadzoru wystarczy do jego wykonania.

Czy Windows Defender lub inne oprogramowanie antywirusowe chroni przed YellowKey?

Nie. YellowKey działa wyłącznie w środowisku WinRE, czyli przed załadowaniem systemu operacyjnego. Windows Defender, EDR i inne narzędzia endpoint security są w tym momencie nieaktywne i nie mogą zarejestrować ani zablokować ataku. Jedyną warstwą ochrony działającą w warstwie OS jest zapobieganie skopiowaniu plików FsTx na nośnik USB lub partycję EFI, co realizuje się przez blokadę zapisu na zewnętrznych nośnikach (Group Policy) i monitoring zmian w partycji EFI przez SIEM.

Kiedy Microsoft wyda poprawkę?

Na dzień 15 maja 2026 brak oficjalnej poprawki i oświadczenia Microsoftu. Poprzednie exploity tego samego badacza (BlueHammer, RedSun) zostały załatane bez publicznego komunikatu. Zalecamy monitorowanie kanału Microsoft Security Response Center pod adresem msrc.microsoft.com oraz subskrypcję alertów bezpieczeństwa dla systemu Windows.

Czy dyski zaszyfrowane przez BitLocker To Go (dyski przenośne) są bezpieczne?

Wstępnie tak. Exploit w opublikowanej formie dotyczy dysków systemowych powiązanych z TPM konkretnej maszyny. BitLocker To Go szyfruje nośniki zewnętrzne hasłem, bez TPM, co eliminuje obecny wektor ataku. Badacz wspomniał jednak o wariantach exploita dotyczących TPM+PIN, które nie zostały jeszcze opublikowane, dlatego zalecamy śledzenie komunikatów Microsoftu.

Co zrobić, jeśli nie możemy wyłączyć WinRE ze względu na polityki firmy?

Zastosuj kombinację pozostałych kroków z checklisty: hasło administratora BIOS/UEFI (priorytet), blokada portów USB przez Group Policy, monitoring EFI przez SIEM oraz polityki MDM z device compliance. Żaden z tych kroków nie jest tak skuteczny jak wyłączenie WinRE, ale ich kombinacja znacząco podnosi barierę wejścia.

Czy NIS2 zobowiązuje firmy do reakcji na takie luki?

Jeżeli Twoja firma jest objętym podmiotem NIS2, masz obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zarządzania ryzykiem cyberbezpieczeństwa. Brak reakcji na opublikowaną, zweryfikowaną lukę w powszechnie stosowanym komponencie może być uznany za zaniedbanie podczas audytu regulacyjnego i skutkować odpowiedzialnością zarządu.

Masz pytania lub chcesz ocenić sytuację w swojej firmie?

Napisz do nas. Możemy wykonać szybki przegląd konfiguracji BitLockera, WinRE i BIOS/UEFI w Twoim środowisku, doradzić w kwestii tymczasowych mitigacji oraz zaplanować pełny audyt bezpieczeństwa, jeżeli sytuacja tego wymaga.

Skontaktuj się ze SparkSome

Potrzebujesz konsultacji technicznej?

Masz pytania dotyczące wpisu lub swojej infrastruktury? Napisz do nas. Pomożemy Ci to spokojnie przeanalizować i znaleźć rozwiązanie.

logo SparkSome

NIP: 6793289948

REGON: 527616291

KRS: 0001085500

Kapitał zakładowy: 50 000 zł

© Copyright
SparkSome Venture sp. z o.o.

Menu

Kontakt