Pendrive włożony w wyłączony laptop firmowy, restart do trybu Windows Recovery, kilka kliknięć, a zaszyfrowany BitLockerem dysk otwiera się bez hasła. Dokładnie tak działa publicznie opisany 12 maja 2026 exploit nazwany YellowKey, autorstwa anonimowego badacza pod pseudonimem Nightmare-Eclipse. Dzień później ten sam autor dorzucił drugą lukę o nazwie GreenPlasma, która pozwala podnieść uprawnienia do poziomu administratora w już uruchomionym systemie. Microsoft zgłoszenie odrzucił przez MSRC, CVE nie powstało, a patcha nadal brak.
Tytuły zaczęły krzyczeć o backdoorze, czyli celowo wbudowanym tylnym wejściu. Doświadczeni inżynierowie bezpieczeństwa szybko jednak osłabili tę narrację. Sprawa jest dziś bardziej interesująca dla polskiego CIO niż dla fana teorii spiskowych. BitLocker w trybie TPM-only, czyli najczęstszej domyślnej konfiguracji laptopów biznesowych, ma od lat znaną architektoniczną słabość przy dostępie fizycznym. YellowKey obnaża ją w sposób, który nie wymaga drogiego sprzętu, reverse engineeringu ani godzin podlutowywania chipów. Wystarczy znajomy pendrive i dziesięć minut przy wyłączonym laptopie.
Co dokładnie znalazł Nightmare-Eclipse
YellowKey to luka w sposobie, w jaki Windows obsługuje tak zwany transactional NTFS, czyli mechanizm wycofywania zmian w systemie plików. Atak uruchamia się przez Windows Recovery Environment, w skrócie WinRE, czyli tryb naprawczy, do którego można dostać się po podpięciu odpowiednio przygotowanego pendrive’a. Tam exploit manipuluje plikami transakcyjnymi NTFS, by skasować kluczowe pliki zabezpieczeń na zaszyfrowanym dysku. Po restarcie systemu BitLocker nie ma już czego pilnować i w efekcie udostępnia zawartość bez pytania o hasło.
Druga luka, GreenPlasma, dotyka czego innego. Pozwala bowiem zapisać do chronionych kluczy rejestru w gałęzi HKCU, czyli ustawień konkretnego użytkownika, a w skrajnym przypadku nawet do gałęzi innego użytkownika. To klasyczne podniesienie uprawnień, w branży opisywane skrótem EoP (elevation of privileges – zdobycie uprawnień, których nie powinniśmy mieć). Badacz publikuje sam kod tworzący “uzbrojony” obiekt sekcji. Pełnego PoC do powłoki SYSTEM na świeżo załatanym Windows 11 i Server 2025 jednak nie udostępnia. Mimo to dla zespołu bezpieczeństwa to wystarczy, by traktować GreenPlasma jako realny krok w ścieżce eskalacji uprawnień napastnika.
Najgorsza dla Microsoftu nie jest jednak technika. Najgorsza jest historia tego, jak badacz zgłaszał luki. Według postów na jego blogu, MSRC (Microsoft Security Response Center) odrzucił zgłoszenie i zamknął sprawę. Nightmare-Eclipse opisuje, że jest dziś bez stałego dachu nad głową, a Microsoft – mimo wiedzy o treści publikacji – nie zareagował. Ani sprostowaniem technicznym, ani CVE, ani patchem. Dla branży to sygnał poważnego problemu w procesie odpowiedzialnego ujawniania luk, niezależnie od tego, czy autor ma rację co do skali błędu.
YellowKey nie wymaga zaawansowanego sprzętu ani wiedzy laboratoryjnej. Wystarczy pendrive za kilkanaście złotych, dziesięć minut przy wyłączonym laptopie i dostęp do recovery mode’a Windows.
Backdoor czy zwykły bug? Eksperci dzielą się na dwa obozy
Słowo “backdoor” wskoczyło na nagłówki mediów technicznych szybciej niż pojawiły się techniczne wyjaśnienia. Pojawiło się też w cudzysłowach, bo doświadczeni inżynierowie bezpieczeństwa od razu zauważyli problem z tą interpretacją. Backdoor sugeruje intencję, czyli celowe wbudowanie ukrytego wejścia przez producenta. Architektura YellowKey do takiego scenariusza nie pasuje.
Argument jest prosty. Microsoft sam podpisuje cyfrowo binaria Windows. Gdyby naprawdę chciał mieć ukryte tylne wejście, nie musiałby ukrywać go w sposobie parsowania logów NTFS w trybie recovery. Wystarczyłby sygnowany payload wysłany do każdej maszyny w ramach normalnego Windows Update. Drugi argument: różne wersje pliku fstx.dll między pełnym Windows 11 a jego trybem WinRE wyglądają na niedoróbkę inżynieryjną, nie zaplanowaną dziurę – bo backdoor byłby spójny, a ten “atrybut” istnieje tylko w jednej gałęzi kodu. W efekcie środowisko ekspertów coraz mocniej skłania się ku tezie “bug architektoniczny, nie backdoor”.
Ta nuancja nie zdejmuje jednak problemu z polskich firm. Bug też potrafi otworzyć dysk osobie, która podnosi laptopa z biurka. Co więcej, BitLocker w trybie TPM-only ma od lat znaną słabość przy ataku zwanym DMA evil maid (atak “złej pokojówki”, czyli scenariusz, w którym ktoś z fizycznym dostępem manipuluje wyłączonym sprzętem). YellowKey jest po prostu kolejnym, znacznie tańszym wariantem tego samego problemu. Polski admin powinien więc zignorować medialne nagłówki o backdoorze i zająć się konkretem: ile laptopów w jego firmie nie ma ustawionego PIN-u przed startem systemu.
Bug w BitLockerze i backdoor w BitLockerze różnią się intencją autora, lecz dla ofiary kradzieży laptopa różnica jest czysto akademicka. Zaszyfrowany dysk jest otwarty albo nie jest.
Kto w Polsce powinien się dziś przejmować
Najpoważniejszą polską grupą ryzyka jest administracja publiczna. Urzędy centralne i samorządowe od lat masowo używają laptopów z Windowsem i szyfrowaniem BitLockerem, najczęściej w wariancie TPM-only – czyli takim, który atakuje YellowKey. Powód jest banalny: PIN przed startem systemu utrudnia życie urzędnikom, więc działy IT go nie wymuszają. To samo dotyczy wojska, służb mundurowych oraz dużych spółek państwowych. W ich przypadku konsekwencja kradzieży lub zgubienia laptopa może wykraczać poza RODO i dotykać ustawy o ochronie informacji niejawnych.
Drugą grupą są natomiast średnie firmy z działem handlowym lub serwisem w terenie. Handlowcy z laptopami z bazą klientów i ofertami cenowymi to klasyczny cel okazjonalnej kradzieży. Dotychczasowe wyjaśnienie “spokojnie, mamy BitLockera” przestaje brzmieć przekonująco, jeśli ktoś w lombardzie ma pendrive z YellowKey. Powiązany przypadek to gabinety lekarskie i kancelarie prawne. Każdy taki laptop trzyma dane osobowe z art. 9 RODO (dane wrażliwe), a ich wyciek to nie tylko strata reputacji, lecz potencjalna kara w milionach euro od UODO.
Trzecia grupa to programiści i administratorzy z dostępem do firmowych repozytoriów i sekretów. Laptop z cache’em poświadczeń Active Directory, kluczy SSH czy tokenów chmurowych to dziś jeden z najczęstszych wektorów wycieku przez łańcuch dostaw oprogramowania. Atak nie musi być wymierzony w konkretną firmę. Czasem wystarczy, że kupujący laptopa z drugiej ręki odpali na nim YellowKey z ciekawości i trafi na nieusunięte dane poprzedniego właściciela. Polski rynek wtórnego sprzętu IT jest pod tym względem szczególnie wrażliwy.
Co zrobić tu i teraz, żeby nie być na liście ofiar
Włącz BitLockera w trybie TPM + PIN
Najważniejszy ruch jest niskim wysiłkiem i wysokim efektem. Włącz BitLockera w trybie TPM + PIN, czyli z dodatkowym PIN-em wymaganym jeszcze przed startem Windows. BitLocker tylko z TPM przypomina drzwi z porządnym zamkiem, ale z zapasowym kluczem zostawionym pod wycieraczką – wygodne dla domownika, ryzykowne przy fizycznym dostępie.
Konfiguracja TPM + PIN powinna zatrzymać publicznie opisany wariant YellowKey i klasyczny atak typu evil maid. Przede wszystkim podnosi koszt każdego ataku z fizycznym dostępem do laptopa. Mimo to warto śledzić komunikaty Microsoftu – autor sugeruje szerszy zakres podatności, którego publiczny PoC jeszcze nie pokazał.
Sama rekomendacja TPM + PIN od lat wraca w dokumentacji bezpieczeństwa Microsoftu oraz w poradnikach branżowych dla administracji publicznej. Wiele firm dotychczas jej nie wdrażało, ponieważ PIN przed startem systemu utrudnia życie użytkownikom. PIN można jednak skonfigurować przez polityki GPO lub Intune w ciągu jednego sprintu, od razu dla całej floty laptopów. Drugą warstwą obrony jest Secure Boot wymuszony w UEFI i wyłączone bootowanie z urządzeń zewnętrznych w BIOS-ie, zabezpieczone hasłem firmware.
Defender for Endpoint, aktualizacje i LAPS
Drugi krok dotyczy aktualizacji oprogramowania. GreenPlasma działa już po przejęciu konta lokalnego, dlatego kluczowe staje się tu wszystko, co utrudnia samo wejście do systemu. W praktyce mówimy o trzech narzędziach. Pierwsze to Microsoft Defender for Endpoint z modułem EDR, czyli aktywnym wykrywaniem podejrzanych zachowań na komputerach pracowników. Drugie to wymuszone aktualizacje Windows. Trzecie to polityka LAPS (Local Administrator Password Solution), która rotuje hasła administratora lokalnego na każdej maszynie. Bez tych elementów GreenPlasma może stać się kolejnym krokiem po przejęciu konta lokalnego i znacząco ułatwić napastnikowi eskalację uprawnień.
Druga warstwa szyfrowania dla danych wrażliwych
Trzeci krok dotyczy laptopów z najwrażliwszymi danymi, na przykład prawników, lekarzy i działów R&D. Tam warto rozważyć drugą warstwę szyfrowania na poziomie kontenera plikowego, niezależną od BitLockera. Standardem branżowym pozostaje VeraCrypt (otwartoźródłowy następca TrueCrypta). Microsoft od kilku miesięcy utrudnia jego instalację na Windowsie, lecz w środowisku korporacyjnym da się ten problem obejść politykami AppLocker.
Procedura wycofywania sprzętu z floty
Dla firm, które oddają stare laptopy poza organizację, nie polegaj wyłącznie na resecie Windowsa. Standardowy reset nie kasuje zaszyfrowanego dysku w sposób odporny na YellowKey. Procedura wycofania sprzętu powinna obejmować pełne nadpisanie dysku narzędziem typu Microsoft Surface Data Eraser albo wyciągnięcie nośnika SSD i jego fizyczne zniszczenie. Koszt tej procedury liczy się w dziesiątkach złotych za sztukę. Wykorzystanie luki YellowKey na sprzęcie z Allegro to dla niedoszłego napastnika kwestia jednego wieczoru z publicznie dostępnym exploitem.
Pierwsza Misja AI · Kodożercy
Rozumiesz zagrożenia AI, gdy rozumiesz jak naprawdę działa.
Kurs Pierwsza Misja AI ma dedykowaną lekcję o ciemnej stronie AI: halucynacje, deepfakes, manipulacja. Zanim zaczniesz się bać – zacznij rozumieć.
Poznaj pełny program →
Podsumowanie
YellowKey i GreenPlasma to dwie luki publicznie opisane 12-13 maja 2026 przez anonimowego badacza Nightmare-Eclipse. Pierwsza to exploit BitLockera w trybie TPM-only – otwiera zaszyfrowany dysk po podpięciu pendrive’a do wyłączonego laptopa. Druga to osobna podatność w Windowsie, która może prowadzić do eskalacji uprawnień, choć pełnego PoC do powłoki SYSTEM autor jeszcze nie opublikował. Microsoft odmówił przyjęcia zgłoszenia przez MSRC i do tej pory nie odniósł się technicznie do skali problemu.
Branża bezpieczeństwa, mimo nagłówków o backdoorze, skłania się ku tezie, że to bug architektoniczny w sposobie obsługi NTFS w trybie recovery, a nie celowe tylne wejście wbudowane przez producenta. Dla polskiej firmy ta różnica nie ma jednak znaczenia praktycznego, jeśli laptop trafi w niepowołane ręce. Jedyna sensowna reakcja to wymuszenie BitLockera w trybie TPM + PIN, zabezpieczenie UEFI przed bootowaniem z USB oraz fizyczna utylizacja dysków przy wycofywaniu floty. To trzy ruchy, które można wprowadzić w ciągu jednego sprintu i które zamykają większość ryzyka opisanego w tej historii.
Newsletter · DevstockAcademy & Kodożercy
Bądź na bieżąco ze światem IT, AI i automatyzacji
Co wtorek: newsy z branży, praktyczne tipy i narzędzia które warto znać. Zero spamu.
