مايكروسوفت تطرح حلاً لثغرة YellowKey التي تخترق BitLocker

مقدمة تحليلية

كشفت شركة مايكروسوفت مؤخراً وبشكل رسمي عن دليل أمني عاجل وحزمة من الإجراءات الوقائية لمعالجة ثغرة أمنية بالغة الخطورة تُعرف تقنياً باسم "YellowKey" وتحمل المعرّف القياسي CVE-2026-45585. صُنفت هذه الثغرة باعتبارها واحدة من أكثر عمليات تجاوز نظام تشفير الأقراص الصلبة الشهير BitLocker فاعلية وخطورة في الآونة الأخيرة. يأتي هذا التحرك السريع من عملاق التكنولوجيا الأمريكي في أعقاب نشر تفاصيل برمجية كاملة وكود إثبات المفهوم (Proof of Concept) بشكل علني على منصة GitHub بواسطة الباحث الأمني المستقل المعروف بالاسم المستعار Chaotic Eclipse (أو Nightmare-Eclipse)، مما وضع الملايين من الأنظمة النشطة حول العالم في مواجهة تهديد أمني مباشر ومكشوف للجميع دون سابق إنذار أو تنسيق أمني مسبق. تكمن الخطورة الفائقة لهذه الثغرة الأمنية في حصولها على تقييم خطورة متوسط إلى مرتفع يبلغ 6.8 درجات وفقاً لنظام تقييم الثغرات المشترك CVSS، وذلك نظراً لطبيعتها التي تمكّن أي شخص يمتلك وصولاً فيزيائياً عابراً للجهاز المستهدف من الالتفاف الكامل حول حزمة حماية وتشفير الأجهزة المقيدة ببروتوكولات الأمان الافتراضية. ويمتد النطاق التشغيلي للإصابة بهذه الثغرة ليشمل بيئات تشغيل حديثة وحساسة للغاية لدى قطاعات الأعمال والمستخدمين الأفراد على حد سواء، بما في ذلك نظام التشغيل Windows 11 في إصداراته المتعددة x64 لنسخ 24H2 و 25H2 و 26H1، بالإضافة إلى نظام التشغيل الموجه للمؤسسات والخوادم الضخمة Windows Server 2025 بجميع إصداراته الأساسية والكاملة (Server Core).

التحليل التقني

من الناحية الهيكلية، تعتمد ثغرة YellowKey على استغلال خلل عميق في افتراضات الثقة السلوكية داخل واجهة الاسترداد الخاصة بنظام تشغيل ويندوز المعروفة باسم Windows Recovery Environment (WinRE). لتنفيذ هذا الاختراق المعقد بأسلوب برمجيات منخفضة المستوى، يستغل المهاجم طريقة تعامل النظام مع الملفات المؤقتة والعمليات التلقائية أثناء مرحلة ما قبل الإقلاع الأمني. تبدأ العملية بوضع ملفات مهيأة ومصممة خصيصاً تحمل الاسم الحركي "FsTx" على محرك أقراص خارجي متصل بمنفذ USB أو زرعها مباشرة داخل قسم النظام الخاص بواجهة البرامج الثابتة الممتدة (EFI System Partition). عند توصيل محرك الأقراص هذا بالجهاز المستهدف والذي تم تفعيل ميزة تشفير BitLocker الافتراضية عليه، يفرض المهاجم إعادة تشغيل قسرية للجهاز للدخول في بيئة الاسترداد المحلية WinRE. في هذه المرحلة الحساسة، يؤدي الضغط المستمر والمطول على مفتاح التحكم CTRL في لوحة المفاتيح إلى تحفيز استدعاء واجهة الأوامر التفاعلية (Command Shell) بصلاحيات مدير النظام الكاملة وغير المقيدة، مما يتيح وصولاً شاملاً وبدون أي تشفير لملفات القرص الصلب المحمي. فيما يلي تفصيل لأهم العناصر التقنية والآليات التشغيلية المرتبطة بالثغرة وطرق معالجتها:

• العنصر المستهدف للتلاعب: الثغرة تستغل بشكل أساسي أداة استرداد المعاملات التلقائية لنظام الملفات والمعروفة بالاسم البرمجي المدمج "autofstx.exe" والمخزنة ضمن صورة نظام WinRE.
• آلية العمل التخريبية: تؤدي محاكاة المعاملات التالفة عبر ملفات FsTx المعدلة إلى إجبار الأداة على إعادة تشغيل بيئة المعاملات للقرص (Transactional NTFS)، مما ينتج عنه تخطي قراءة وحذف ملف التهيئة الأمني الحرج winpeshl.ini المسؤول عن تأمين بيئة الاسترداد.
• خطوات الحل اليدوي من مايكروسوفت: تتطلب المعالجة قيام مسؤولي الأنظمة بتركيب صورة WinRE يدوياً ومطابقة خلايا سجل النظام لتعديل قيمة معالجة التشغيل التلقائي.
• تعديل مسار الإقلاع: يجب على المسؤولين الدخول إلى خلية السجل الخاصة بمدير الجلسات (Session Manager) وحذف القيمة البرمجية الخاصة بملف "autofstx.exe" من السلسلة متعددة السطور REG_MULTI_SZ لمنع الإقلاع الآلي للأداة المصابة.

بمجرد إجراء هذا التعديل، يتعين على مسؤولي الشبكات حفظ سجل النظام وتفريغه بشكل كامل، ثم فك تركيب صورة الاسترداد وتأكيد التغييرات (Commit WIM) مع إعادة بناء جسور الثقة والمصادقة الأمنية لنظام BitLocker لبيئة الاسترداد المحدثة لضمان استقرار العمليات الأمنية وتجنب تجميد إقلاع نظام التشغيل لاحقاً.

السياق وتأثير السوق

تاريخياً، يُصنف نظام تشفير BitLocker كخط الدفاع الأخير والحاسم لحماية أسرار وبيانات الشركات العالمية والمؤسسات الحكومية الحساسة، لاسيما عند فقدان أو سرقة الحواسب المحمولة أثناء السفر والتنقل. ويمثل الكشف عن ثغرة بمثل هذا التبسيط الإجرائي -التي لا تتطلب سوى وحدة ذاكرة خارجية والضغط على زر واحد- هزة قوية لمعايير الأمان المادي وثقة قطاع الأعمال في الضمانات الأمنية التي تقدمها شركة مايكروسوفت افتراضياً مع أنظمة ويندوز الحديثة. عند مقارنة YellowKey بالهجمات السابقة التي كانت تستهدف BitLocker، نجد أن الاختراقات السابقة كانت تتطلب غالباً معدات هندسة عكسية باهظة الثمن، وربط مسبار مادي بشريحة اللوحة الأم لالتقاط حزم البيانات المتبادلة واستخراج مفتاح التشفير من قنوات التوصيل الخاصة بوحدة النظام الموثوقة (TPM Analysis). في المقابل، تنجح ثغرة YellowKey في تحييد هذه المتطلبات المعقدة تماماً وتحويل الهجوم إلى عملية برمجية بحتة قابلة للأتمتة والانتشار السريع. هذا التحول التكتيكي يرفع بشكل كبير من مستوى الخطر لقطاعات حيوية مثل الرعاية الصحية، والمؤسسات المصرفية، والمقاولين العسكريين، حيث تصبح الحواسب المحمولة أهدافاً سهلة لعمليات التجسس الصناعي السريع في البيئات غير الخاضعة للرقابة المستمرة.

رؤية Glitch4Techs

من وجهة نظرنا التحليلية في Glitch4Techs، نرى أن الحل البرمجي المطروح من مايكروسوفت والذي يستلزم تعديل صورة نظام الاسترداد WinRE يدوياً عبر سطور الأوامر وأدوات DISM يمثل عبئاً تشغيلياً هائلاً وغير عملي لفرق إدارة تقنية المعلومات، لاسيما في البيئات المؤسسية الكبرى التي تدير آلاف الأجهزة الطرفية الموزعة جغرافياً. إن مطالبة مسؤولي الأنظمة بتطبيق هذه الخطوات على كل جهاز على حدة تفتح الباب واسعاً للأخطاء البشرية التي قد تؤدي إلى تعطيل قدرات الاسترداد الذاتي للأنظمة بشكل كامل. لذلك، فإننا ننصح بشدة بالقفز مباشرة إلى الحل الجوهري والأكثر كفاءة وأماناً: وهو الانتقال الفوري لسياسة تشفير صارمة تعتمد على نمط التوثيق الثنائي المدمج (TPM+PIN) بدلاً من الاعتماد الكلي على حماية وحدة النظام الموثوقة الافتراضية الصامتة (TPM-only). يتطلب هذا النمط إدخال رمز رقمي سري مخصص قبل بدء إقلاع نظام ويندوز أو تحميل بيئة الاسترداد WinRE. هذا الحاجز الإجرائي يضمن بقاء مفاتيح التشفير الأساسية محبوسة بأمان داخل الشريحة المادية، مما يمنع ثغرة YellowKey وأي ثغرات مادية مشابهة من الوصول إلى واجهة فك التشفير التلقائي للبيانات، وهو ما يمثل الحصن الحقيقي الوحيد في عصر الهجمات المادية المبتكرة. يمكن فرض هذا التكوين دفعة واحدة وبسهولة عبر أدوات إدارة الهوية مثل Microsoft Intune أو سياسات المجموعة النشطة لإنهاء هذا التهديد بشكل حاسم ودائم.