
Windows 11 BitLocker 有零日繞過:失機唔等於一定安全
香港公司 notebook 要重新檢查 TPM-only 風險

圖:Ars Technica.原文連結
Ars Technica 報道,一個名為 YellowKey 嘅 zero-day exploit 已經喺網上公開,聲稱可以喺有實體接觸 Windows 11 電腦嘅情況下,繞過預設 BitLocker 保護並讀取原本加密嘅系統磁碟。呢件事最值得香港公司同 notebook 用家留意嘅位,唔係 BitLocker 突然變到無用,而係好多 Windows 11 機嘅預設保護其實係 TPM-only:開機過程順利就自動解鎖,用家登入前未必需要再輸入另一個 BitLocker PIN。
香港常見場景好實際:外勤同事拎 notebook 去客戶 office、咖啡店做嘢、學校借機、維修店留機、二手機交收,甚至只係部機短時間離開視線。全碟加密一直係防止失機後資料被拆 SSD 讀走嘅重要防線,但今次研究提醒一點:加密唔等於每一種實體接觸都自動安全。如果攻擊面落喺啟動鏈、復原環境或者 TPM 釋放密碼匙嘅條件,風險就唔只係登入密碼夠唔夠強。
發生咩事
公開資料顯示,YellowKey 由化名 Nightmare-Eclipse 嘅研究員喺 GitHub 發布,Ars 指 Microsoft 表示正在調查。研究員同後續報道均指,攻擊焦點涉及 Windows Recovery Environment(WinRE)同一組特定檔案/元件互動,結果係喺某些 Windows 11 預設 BitLocker 部署下取得已加密磁碟嘅完整存取。為免放大濫用細節,呢度唔會列出觸發方法;實務上可以理解成:只要有人可以接觸部機同影響復原/啟動流程,TPM-only 便利性就可能變成弱位。
Tom’s Hardware 表示佢哋有自行測試公開 PoC,並指 Windows 11 受影響,Windows Server 2022/2025 亦被研究員列入範圍,Windows 10 則據稱不受影響,原因可能同 WinRE 差異有關。不過截至 2026 年 5 月 14 日截稿時,Microsoft 未見公開完整受影響清單、CVE 編號或正式修補時間表;相關版本範圍同根因仍要等官方確認。研究員將事件形容為疑似 backdoor,但呢個係未經證實指控,唔應當成事實寫死。
預設 BitLocker 保護點樣運作
BitLocker 本身係 Windows 用嚟保護遺失、被盜或退役裝置資料嘅全磁碟加密功能。Microsoft 官方文件寫得好清楚:配合 TPM 時,BitLocker 會用 TPM 幫手確認離線期間部機未被篡改;如果再加 PIN 或 startup key,就可以令系統喺開機前要求額外因素,未通過前唔會將解密所需資料載入記憶體。問題係好多 Windows 11 消費機同公司機為咗方便,實際上都係 TPM-only,開機體驗同一般登入差唔多。
Device Encryption 又令事情更易被忽略。Microsoft Support 指,當用 Microsoft account、公司或學校 account 首次設定支援嘅 Windows 裝置時,裝置加密可以自動開啟,recovery key 會綁到相應 account;Windows Home 亦可以有 Device Encryption,而完整 BitLocker Drive Encryption 管理介面主要係 Pro、Enterprise、Education。換句話講,好多用家以為自己從未設定 BitLocker,但實際上部機可能已經加密;亦有相反情況:只用 local account 或清除保護狀態未完成時,畫面見到已加密唔代表已經係完整受保護。
TPM-only、TPM+PIN 同 WinRE 先係重點
Microsoft 官方 BitLocker countermeasures 將 TPM-only 定義為最方便但較低保安嘅選項;TPM+PIN 則係額外預啟動驗證,官方建議高風險或有熟手實體攻擊風險嘅行政工作站使用。今次 YellowKey 公開 PoC 主要令 TPM-only 部署響警號。研究員另聲稱有針對 TPM+PIN 嘅未公開變種,但暫未見 Microsoft 或獨立第三方完整確認,所以合理寫法係:TPM+PIN 仍係官方較高保護建議,但唔可以因為開咗 PIN 就停止監察今次漏洞進展。
WinRE 亦係今次脈絡嘅核心之一。Microsoft 文件指 Windows 11 嘅 WinRE 預設可載入復原、疑難排解同診斷工具,部分工具毋須先選 administrator account 或輸入密碼;文件同時強調加密檔案理論上喺冇 key 情況下唔應可存取。YellowKey 被指繞過嘅正正係呢條保證附近嘅信任邊界。IT team 可以檢視 WinRE 狀態、復原分割區、Secure Boot、PCR policy 同 BitLocker protector,但唔應一刀切關閉 WinRE,因為會影響維修、復原同大規模支援流程。
香港公司同學校要即刻盤點
對香港中小企、學校、診所、會計師樓、設計公司同自由工作者,最大風險唔係有冇國家級攻擊者盯住,而係部 Windows 11 notebook 入面通常有客戶名單、報價、合約、學生資料、病人資料、相片素材、瀏覽器 session 同雲端同步 token。政府資訊安全網亦提醒,手提電腦、USB、硬碟等隨身裝置如果未妥善保管或未加密,可導致大規模資料外洩;私隱專員公署亦建議涉及個人資料外洩時作出通報,即使香港法例未強制每宗事故都要通報。
實務上,呢件事唔係叫公司關 BitLocker,而係相反:先確定每部機真係有保護,再按風險加硬。一般用家可去 Windows Settings 入面檢查 Privacy & security > Device encryption;Pro、Enterprise、Education 用家可喺 Start 搜尋 Manage BitLocker,睇 OS drive 係 On、Off、Suspended 定 Waiting for Activation。公司 IT team 就應用 PowerShell Get-BitLockerVolume 或 manage-bde -status 做資產盤點,特別留意 Key Protectors 係咪只得 TPM、recovery key 有冇安全備份到 Microsoft Entra ID 或 AD DS、以及有冇機長期處於 suspended 狀態。
之後應該點做
短期做法係先當所有 Windows 11 TPM-only notebook 都需要重新評估實體接觸風險:外勤機、管理層機、財務/HR 機、載有客戶資料嘅機,優先考慮 TPM+PIN、強制關機或 hibernate 先離手、限制由外置媒體啟動、更新 firmware 同 Windows、檢查 Secure Boot 狀態,以及確保 recovery key 唔係只留喺個人 Microsoft account。維修、二手機交收同退役前要用正式 wiping/decommission 流程,唔好以為見到 BitLocker 就可以放心交出部機。
中期就要等 Microsoft 交代根因同修補。若官方確認 CVE 或發出 out-of-band update,IT team 應該先喺測試群組驗證 BitLocker、Secure Boot、WinRE、recovery key 同自動修復流程,再推去全公司;之前幾次 BitLocker 相關 Windows update 都曾令部分配置要求 recovery key,所以冇備份 recovery key 就貿然更新,本身都可以造成停工。對家用同自由工作者,最低限度係確認裝置加密開啟、recovery key 搵得到、重要資料另有備份,並避免將已登入雲端服務嘅 notebook 長時間交畀陌生人或無監管維修環境。
今次 YellowKey 最重要嘅訊息係:BitLocker 仍然係 Windows 保護失機資料嘅基礎,但預設值唔應被當成最高安全級別。香港好多工作場景都係流動、多人接觸、維修外判同資料混雜,單靠登入密碼或者一句已開 BitLocker並不足夠。真正要做嘅係將加密、預啟動驗證、WinRE 管理、實體保管、recovery key 備份同事故通報流程一齊睇,咁部機失手時先唔會由保安事件變成資料外洩事故。
參考來源
- Ars Technica — Zero-day exploit completely defeats default Windows 11 BitLocker protections — original report
- Tom’s Hardware — Microsoft BitLocker-protected drives can now be opened with just some files on a USB stick — 第三方報道兼聲稱有測試 PoC,用嚟交叉核對受影響版本同實際風險,但未採用其攻擊步驟。
- Microsoft Support — Device Encryption in Windows — 官方解釋 Windows 裝置加密何時自動開啟、recovery key 綁定方式,以及 Home/Pro 差異。
- Microsoft Learn — BitLocker countermeasures — 官方說明 TPM-only、TPM+PIN、預啟動驗證、sleep/hibernate 同實體攻擊防護取捨。
- Microsoft Learn — BitLocker operations guide — 官方列出檢查 BitLocker 狀態嘅 Control Panel、PowerShell 同 manage-bde 方法。
- Microsoft Learn — Windows Recovery Environment (Windows RE) — 官方 WinRE 技術背景,支持文章解釋 Windows 11 復原環境同安全考量。
- 資訊安全網 — 資料外泄 — 香港官方資訊安全背景,說明手提電腦、USB、硬碟等實體遺失或未加密裝置可導致資料外洩。
- 私隱專員公署 — 資料外洩事故通報 — 香港個人資料外洩通報背景,確認法例未強制所有事故通報但公署建議作出通報。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。






