---
title: "ادعای کاشف آسیب‌پذیری YellowKey: مایکروسافت عمداً در بیت‌لاکر «درِ پشتی» گذاشته است؟‍!"
date: 2026-05-18T11:00:42Z
modified: 2026-05-18T11:24:49Z
permalink: "https://nooshdaroo.ir/news-opinion/microsoft-bitlocker-yellowkey-vulnerability/"
type: post
status: publish
excerpt: ""
wpid: 11347
categories:
  - خبر و تحلیل
  - حفاظت فیزیکی
tags:
  - مایکروسافت
  - ویندوز
author:
  - daniyal
  - ZiaeiShayan
featured_image: "https://nooshdaroo.ir/wp-content/uploads/2026/05/nooshdaroo_6a0ad70b435a6.webp"
---

چند روز پیش در نوشدارو خبر از [کشف آسیب‌پذیری خطرناکی به نام YellowKey](https://nooshdaroo.ir/physical-security/zero-day-bitlocker-vulnerability-windows-11/) دادیم که امکان دور زدن رمزنگاری بیت‌لاکر (BitLocker) را در ویندوز ۱۱ تنها با یک حافظه‌ی فلش فراهم می‌کرد؛ اکنون ابعاد جدید و جنجالی‌تری از این ماجرا فاش شده است. محقق امنیتی کاشف این باگ اکنون مدعی شده که این نقص یک اشتباه برنامه‌نویسی نبوده، بلکه مایکروسافت عمداً این «درِ پشتی» (Backdoor)[1](#1e703874-e6d1-45b6-a24e-5317c969553f) را درون سیستم تعبیه کرده است.

## ماجرا چیست؟

این پژوهشگر، YellowKey را یکی از دیوانه‌وارترین نقص‌هایی توصیف کرده که تاکنون با آن روبه‌رو شده است. به گفته‌ی او، این آسیب‌پذیری با کپی کردن پوشه‌ای به نام «FsTx» در یک حافظه فلش (یا مستقیماً در پارتیشن EFI ویندوز) و طی کردن مراحلی در محیط بازیابی ویندوز (WinRE) فعال می‌شود. سپس مستقیماً یک محیط خط فرمان را با دسترسی نامحدود به درایوهای قفل‌شده‌ی بیت‌لاکر، بدون نیاز به هیچ‌گونه پسوردی، در اختیار فرد قرار می‌دهد.

دلیل اصلی این پژوهشگر برای عمدی خواندن این باگ، ماهیت کامپوننتی است که باعث بروز آن می‌شود. این کامپوننت تنها در ایمیج رسمی WinRE مایکروسافت وجود دارد. این پژوهشگر می‌گوید:

> نمی‌توانم هیچ توضیح منطقی دیگری جز عمدی بودن این اتفاق پیدا کنم. نکته‌ی عجیب دیگر این است که به دلایل نامعلوم، تنها ویندوز ۱۱ و ویندوز سرور ۲۰۲۲/۲۰۲۵ تحت تاثیر این باگ هستند و ویندوز ۱۰ آسیب‌پذیر نیست.

گزارش‌ها حاکی از آن است که محققان شخص ثالث نیز صحت عملکرد YellowKey را تأیید کرده‌اند.

## در آخر: توصیه‌های امنیتی و راهکارهای جایگزین

با مطرح شدن ادعای وجود درِ پشتی در مکانیزم‌های رمزنگاری مایکروسافت، متخصصان امنیتی به کاربرانی که داده‌های بسیار حساس دارند پیشنهاد می‌کنند که بر هیچ سیستم رمزنگاری واحدی اتکای کامل نداشته باشند. در کنار رعایت نکات امنیتی فیزیکی که در [مطلب پیشین نوشدارو](https://nooshdaroo.ir/physical-security/zero-day-bitlocker-vulnerability-windows-11/#7603aabd-9549-088e-4b6e-5de86926acb7) ذکر شد، استفاده از نرم‌افزارهای رمزنگاری جایگزین، متن‌باز و بررسی‌شده‌ای مانند VeraCrypt می‌تواند انتخاب امن‌تری برای محافظت از اطلاعات مهم باشد.