Microsoft łagodzi obejście YellowKey BitLocker, nie ma jeszcze poprawki

Microsoft opublikował wytyczne łagodzące dla YellowKey, publicznie ujawnionego obejścia funkcji BitLocker, obecnie śledzonego jako CVE-2026-45585, po opublikowaniu działającego dowodu koncepcji bez skoordynowanego ujawnienia. Pełna aktualizacja zabezpieczeń nie jest jeszcze dostępna. Firma potwierdziła, że pracuje nad trwałą poprawką i wzywa administratorów wszystkich dotkniętych wersji systemu Windows do natychmiastowego zastosowania tymczasowych kroków.

Na czym polega złagodzenie skutków ataku

Exploit działa poprzez usunięcie pliku winpeshl.ini za pośrednictwem strony Transactional NTFS (TxF)co powoduje, że środowisko odzyskiwania WinRE uruchamia nieograniczoną powłokę zamiast ładowania standardowego interfejsu odzyskiwania. Stamtąd atakujący z fizycznym dostępem uzyskuje pełny, niezaszyfrowany wgląd w zawartość dysku, nie wymagając poświadczeń, instalacji oprogramowania ani połączenia sieciowego.

Rozwiązanie Microsoftu rozwiązuje ten problem poprzez wyłączenie autofstx.exe, narzędzia FsTx Auto Recovery Utility, w obrazie WinRE. Administratorzy muszą zamontować obraz WinRE na każdym zagrożonym urządzeniu, załadować ul rejestru systemowego i usunąć wpis autofstx.exe z wartości BootExecute menedżera sesji. Microsoft zaleca również przeniesienie urządzeń wysokiego ryzyka z TPM-only BitLocker do trybu TPM+PIN, który znacznie utrudnia fizyczne wykorzystanie.

Jest to obejście, a nie poprawka. Microsoft nie potwierdził, kiedy pojawi się pełna aktualizacja. Dopóki tak się nie stanie, każda maszyna z zainstalowaną wersją systemu Windows z portem USB i możliwością ponownego uruchomienia w trybie odzyskiwania jest realnym celem dla każdego, kto posiada publicznie dostępny kod exploita.

Dotknięte systemy i co administratorzy powinni teraz zrobić

CVE-2026-45585 ma wynik CVSS 6.8 i wymaga fizycznego dostępu, ale Microsoft ocenia wykorzystanie jako "bardziej prawdopodobne", biorąc pod uwagę, że dowód koncepcji jest już publiczny. Porady Microsoftu koncentrują się na systemach Windows 11 24H2, 25H2 i 26H1 na systemach x64, a także Windows Server 2025 i Windows Server 2025 Server Core. Windows 10 nie doświadcza problemów z powodu różnic w konfiguracji WinRE. Publiczne analizy techniczne oznaczają również Windows Server 2022 jako potencjalnie podatny na ataki w określonych warunkach wdrożenia poprzez tę samą lukę w ścieżce odzyskiwania WinRE, chociaż Microsoft nie odniósł się jeszcze do niej formalnie w swoim poradniku.

Badacz stojący za exploitem, znanym jako Nightmare-Eclipse, opublikował go publicznie, zanim Microsoft wydał jakiekolwiek wytyczne. Microsoft nazwał ten incydent naruszeniem skoordynowanych praktyk ujawniania luk.