Windows 11 BitLocker 有零日繞過:失機唔等於一定安全
Tech News

Windows 11 BitLocker 有零日繞過:失機唔等於一定安全

圖片:via Ars Technica — https://arstechnica.com/security/2026/05/zero-day-exploit-completely-defeats-default-windows-11-bitlocker-protections/
TechLab 編輯部(譯)·

香港公司 notebook 要重新檢查 TPM-only 風險

Windows 11 BitLocker 有零日繞過:失機唔等於一定安全

圖:Ars Technica.原文連結

Ars Technica 報道,一個名為 YellowKey 嘅 zero-day exploit 已經喺網上公開,聲稱可以喺有實體接觸 Windows 11 電腦嘅情況下,繞過預設 BitLocker 保護並讀取原本加密嘅系統磁碟。呢件事最值得香港公司同 notebook 用家留意嘅位,唔係 BitLocker 突然變到無用,而係好多 Windows 11 機嘅預設保護其實係 TPM-only:開機過程順利就自動解鎖,用家登入前未必需要再輸入另一個 BitLocker PIN。

香港常見場景好實際:外勤同事拎 notebook 去客戶 office、咖啡店做嘢、學校借機、維修店留機、二手機交收,甚至只係部機短時間離開視線。全碟加密一直係防止失機後資料被拆 SSD 讀走嘅重要防線,但今次研究提醒一點:加密唔等於每一種實體接觸都自動安全。如果攻擊面落喺啟動鏈、復原環境或者 TPM 釋放密碼匙嘅條件,風險就唔只係登入密碼夠唔夠強。

發生咩事

公開資料顯示,YellowKey 由化名 Nightmare-Eclipse 嘅研究員喺 GitHub 發布,Ars 指 Microsoft 表示正在調查。研究員同後續報道均指,攻擊焦點涉及 Windows Recovery Environment(WinRE)同一組特定檔案/元件互動,結果係喺某些 Windows 11 預設 BitLocker 部署下取得已加密磁碟嘅完整存取。為免放大濫用細節,呢度唔會列出觸發方法;實務上可以理解成:只要有人可以接觸部機同影響復原/啟動流程,TPM-only 便利性就可能變成弱位。

Tom’s Hardware 表示佢哋有自行測試公開 PoC,並指 Windows 11 受影響,Windows Server 2022/2025 亦被研究員列入範圍,Windows 10 則據稱不受影響,原因可能同 WinRE 差異有關。不過截至 2026 年 5 月 14 日截稿時,Microsoft 未見公開完整受影響清單、CVE 編號或正式修補時間表;相關版本範圍同根因仍要等官方確認。研究員將事件形容為疑似 backdoor,但呢個係未經證實指控,唔應當成事實寫死。

預設 BitLocker 保護點樣運作

BitLocker 本身係 Windows 用嚟保護遺失、被盜或退役裝置資料嘅全磁碟加密功能。Microsoft 官方文件寫得好清楚:配合 TPM 時,BitLocker 會用 TPM 幫手確認離線期間部機未被篡改;如果再加 PIN 或 startup key,就可以令系統喺開機前要求額外因素,未通過前唔會將解密所需資料載入記憶體。問題係好多 Windows 11 消費機同公司機為咗方便,實際上都係 TPM-only,開機體驗同一般登入差唔多。

Device Encryption 又令事情更易被忽略。Microsoft Support 指,當用 Microsoft account、公司或學校 account 首次設定支援嘅 Windows 裝置時,裝置加密可以自動開啟,recovery key 會綁到相應 account;Windows Home 亦可以有 Device Encryption,而完整 BitLocker Drive Encryption 管理介面主要係 Pro、Enterprise、Education。換句話講,好多用家以為自己從未設定 BitLocker,但實際上部機可能已經加密;亦有相反情況:只用 local account 或清除保護狀態未完成時,畫面見到已加密唔代表已經係完整受保護。

TPM-only、TPM+PIN 同 WinRE 先係重點

Microsoft 官方 BitLocker countermeasures 將 TPM-only 定義為最方便但較低保安嘅選項;TPM+PIN 則係額外預啟動驗證,官方建議高風險或有熟手實體攻擊風險嘅行政工作站使用。今次 YellowKey 公開 PoC 主要令 TPM-only 部署響警號。研究員另聲稱有針對 TPM+PIN 嘅未公開變種,但暫未見 Microsoft 或獨立第三方完整確認,所以合理寫法係:TPM+PIN 仍係官方較高保護建議,但唔可以因為開咗 PIN 就停止監察今次漏洞進展。

WinRE 亦係今次脈絡嘅核心之一。Microsoft 文件指 Windows 11 嘅 WinRE 預設可載入復原、疑難排解同診斷工具,部分工具毋須先選 administrator account 或輸入密碼;文件同時強調加密檔案理論上喺冇 key 情況下唔應可存取。YellowKey 被指繞過嘅正正係呢條保證附近嘅信任邊界。IT team 可以檢視 WinRE 狀態、復原分割區、Secure Boot、PCR policy 同 BitLocker protector,但唔應一刀切關閉 WinRE,因為會影響維修、復原同大規模支援流程。

香港公司同學校要即刻盤點

對香港中小企、學校、診所、會計師樓、設計公司同自由工作者,最大風險唔係有冇國家級攻擊者盯住,而係部 Windows 11 notebook 入面通常有客戶名單、報價、合約、學生資料、病人資料、相片素材、瀏覽器 session 同雲端同步 token。政府資訊安全網亦提醒,手提電腦、USB、硬碟等隨身裝置如果未妥善保管或未加密,可導致大規模資料外洩;私隱專員公署亦建議涉及個人資料外洩時作出通報,即使香港法例未強制每宗事故都要通報。

實務上,呢件事唔係叫公司關 BitLocker,而係相反:先確定每部機真係有保護,再按風險加硬。一般用家可去 Windows Settings 入面檢查 Privacy & security > Device encryption;Pro、Enterprise、Education 用家可喺 Start 搜尋 Manage BitLocker,睇 OS drive 係 On、Off、Suspended 定 Waiting for Activation。公司 IT team 就應用 PowerShell Get-BitLockerVolumemanage-bde -status 做資產盤點,特別留意 Key Protectors 係咪只得 TPM、recovery key 有冇安全備份到 Microsoft Entra ID 或 AD DS、以及有冇機長期處於 suspended 狀態。

之後應該點做

短期做法係先當所有 Windows 11 TPM-only notebook 都需要重新評估實體接觸風險:外勤機、管理層機、財務/HR 機、載有客戶資料嘅機,優先考慮 TPM+PIN、強制關機或 hibernate 先離手、限制由外置媒體啟動、更新 firmware 同 Windows、檢查 Secure Boot 狀態,以及確保 recovery key 唔係只留喺個人 Microsoft account。維修、二手機交收同退役前要用正式 wiping/decommission 流程,唔好以為見到 BitLocker 就可以放心交出部機。

中期就要等 Microsoft 交代根因同修補。若官方確認 CVE 或發出 out-of-band update,IT team 應該先喺測試群組驗證 BitLocker、Secure Boot、WinRE、recovery key 同自動修復流程,再推去全公司;之前幾次 BitLocker 相關 Windows update 都曾令部分配置要求 recovery key,所以冇備份 recovery key 就貿然更新,本身都可以造成停工。對家用同自由工作者,最低限度係確認裝置加密開啟、recovery key 搵得到、重要資料另有備份,並避免將已登入雲端服務嘅 notebook 長時間交畀陌生人或無監管維修環境。

今次 YellowKey 最重要嘅訊息係:BitLocker 仍然係 Windows 保護失機資料嘅基礎,但預設值唔應被當成最高安全級別。香港好多工作場景都係流動、多人接觸、維修外判同資料混雜,單靠登入密碼或者一句已開 BitLocker並不足夠。真正要做嘅係將加密、預啟動驗證、WinRE 管理、實體保管、recovery key 備份同事故通報流程一齊睇,咁部機失手時先唔會由保安事件變成資料外洩事故。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook