مايكروسوفت تعالج ثغرة YellowKey في BitLocker

أطلقت مايكروسوفت حلاً أمنياً لمعالجة ثغرة BitLocker المعروفة باسم YellowKey، والتي تسمح بتجاوز تشفير البيانات في أنظمة ويندوز بسهولة عبر وصول مادي للجهاز.

أعلنت شركة مايكروسوفت عن توفر إجراءات وقائية عاجلة لسد ثغرة أمنية خطيرة في ميزة تشفير الأقراص BitLocker، وذلك بعد الكشف العلني عن نموذج استغلال لهذه الثغرة الأسبوع الماضي. تأتي هذه الخطوة لحماية بيانات المستخدمين من الوصول غير المصرح به الذي قد يتم عبر استغلال نقاط الضعف في بيئة استرداد ويندوز.

ما هي ثغرة BitLocker المعروفة باسم YellowKey؟

تُعرف الثغرة تقنياً بالرمز CVE-2026-45585، وهي ثغرة من نوع "صفرية" (Zero-day) حصلت على تصنيف خطورة 6.8 وفقاً لمعيار CVSS. تكمن وظيفة هذه الثغرة في تجاوز ميزة الأمان الأساسية في BitLocker، مما يمنح المهاجمين قدرة على الوصول إلى البيانات المشفرة دون الحاجة إلى مفاتيح فك التشفير التقليدية.

وفقاً لما ذكره تيكبامين، فقد أشارت مايكروسوفت في بيانها إلى أن نموذج إثبات المفهوم (PoC) لهذه الثغرة قد تم نشره للعلن، وهو ما يخالف ممارسات التنسيق الأمني المسؤولة، ويضع ملايين الأجهزة تحت خطر التهديد المباشر في حال فقدان الجهاز أو سرقته.

كيف يتم استغلال ثغرة YellowKey في ويندوز؟

تم الكشف عن تفاصيل الثغرة بواسطة الباحث الأمني المعروف باسم Chaotic Eclipse. وتعتمد عملية الاستغلال على خطوات تقنية تتطلب وصولاً فيزيائياً إلى الحاسوب:

• وضع ملفات 'FsTx' معدلة خصيصاً على وحدة تخزين USB أو قسم نظام EFI.
• توصيل وحدة الـ USB بالجهاز المستهدف الذي يعمل بنظام ويندوز مع تفعيل BitLocker.
• إعادة تشغيل الجهاز والدخول في بيئة استرداد ويندوز (WinRE).
• الضغط باستمرار على مفتاح CTRL لتفعيل واجهة أوامر (Shell) تتمتع بصلاحيات وصول غير مقيدة للقرص المشفر.

الإصدارات المتأثرة بالثغرة الأمنية

أكدت التقارير التقنية أن المشكلة تؤثر على الأنظمة التالية:

• ويندوز 11 إصدار 26H1 و24H2 و25H2 (لأنظمة x64).
• ويندوز سيرفر 2025 بكافة إصداراته.
• نسخ ويندوز سيرفر 2025 (تثبيت Core).

كيف تحمي بياناتك من ثغرة YellowKey الآن؟

لمعالجة هذا الخطر، وضعت مايكروسوفت والخبراء الأمنيون خارطة طريق واضحة للمستخدمين والمسؤولين التقنيين لضمان سلامة أجهزتهم. حسب تيكبامين، تشمل هذه الإجراءات:

1. تعطيل أداة الاسترداد التلقائي

يجب على المستخدمين منع أداة الاسترداد التلقائي FsTx (autofstx.exe) من البدء تلقائياً عند تشغيل صورة WinRE. هذا التغيير يمنع نظام ملفات NTFS من القيام بإعادة التشغيل التي تؤدي إلى ثغرة واجهة الأوامر غير المقيدة.

2. تفعيل وضع TPM+PIN

تعتبر هذه الخطوة هي الأكثر فاعلية؛ حيث تنصح مايكروسوفت بالانتقال من وضع الحماية المعتمد على شريحة TPM فقط إلى وضع TPM بالإضافة إلى رمز PIN. يتطلب هذا الإجراء ما يلي:

• إدخال رمز PIN سري في كل مرة يتم فيها تشغيل الجهاز لفك تشفير القرص.
• يمكن إعداد ذلك عبر لوحة التحكم (Control Panel) أو أوامر PowerShell.
• هذا الإجراء يحبط هجمات YellowKey تماماً لأنه يضيف طبقة تحقق بشرية قبل فك التشفير.

نصائح إضافية لمديري الأنظمة

بالنسبة للأجهزة التي لم يتم تشفيرها بعد، يُنصح بشدة بتفعيل خيار "تطلب مصادقة إضافية عند بدء التشغيل" عبر سياسات المجموعة (Group Policies) أو Microsoft Intune. كما يجب التأكد من ضبط إعدادات رمز PIN الخاص بشريحة TPM لتكون إلزامية عند كل إقلاع للنظام.

تُذكرنا هذه الثغرة بأن التشفير التلقائي ليس دائماً كافياً، وأن إضافة خطوات أمان يدوية مثل رمز الـ PIN يمكن أن تكون هي الفاصل بين حماية خصوصيتك أو تعرض بياناتك الحساسة للتسريب والسرقة.