A Microsoft enyhíti a YellowKey BitLocker megkerülését, még nincs javítás

A Microsoft közzétette a YellowKey, a nyilvánosan nyilvánosságra hozott BitLocker-kikerülés, amelyet most CVE-2026-45585 néven követnek nyomon, miután egy működő koncepcióbizonylatot tettek közzé összehangolt közzététel nélkül. Teljes biztonsági frissítés még nem áll rendelkezésre. A vállalat megerősítette, hogy dolgozik egy végleges javításon, és sürgeti az érintett Windows-verziók rendszergazdáit, hogy azonnal alkalmazzák az átmeneti lépéseket.

Mit tesz a kárenyhítés

Az exploit a winpeshl.ini fájl törlésével működik a Tranzakciós NTFS (TxF) címen keresztül, ami azt eredményezi, hogy a WinRE helyreállítási környezet a szabványos helyreállítási felület betöltése helyett egy korlátlan shell-t indít el. Innen egy fizikai hozzáféréssel rendelkező támadó teljes, titkosítatlan betekintést nyer a meghajtó tartalmába, amihez nincs szükség hitelesítő adatokra, szoftver telepítésére vagy hálózati kapcsolatra.

A Microsoft a problémát az autofstx.exe, az FsTx automatikus helyreállítási segédprogram letiltásával orvosolja a WinRE-képen belül. A rendszergazdáknak minden egyes érintett eszközön fel kell csatolniuk a WinRE-képet, be kell tölteniük a rendszerkönyvtárkaptárat, és el kell távolítaniuk az autofstx.exe bejegyzést a munkamenetkezelő BootExecute értékéből. A Microsoft azt is ajánlja, hogy a nagy kockázatú eszközöket a TPM-re korlátozódó BitLocker a TPM+PIN módra, amely sokkal nehezebbé teszi a fizikai kihasználást.

Ez egy megoldás, nem javítás. A Microsoft nem erősítette meg, hogy mikor érkezik a teljes frissítés. Amíg ez nem történik meg, addig minden olyan gép, amelyen egy érintett Windows-verzió fut, és amely rendelkezik USB-porttal, valamint képes újraindítani a helyreállítási módot, életképes célpontot jelent bárki számára, aki birtokában van a nyilvánosan elérhető exploit kódnak.

Érintett rendszerek és a rendszergazdák teendői

A CVE-2026-45585 CVSS pontszáma 6,8, és fizikai hozzáférést igényel, de a Microsoft a kihasználást "valószínűbbnek" minősíti, mivel a koncepció bizonyítása már nyilvános. A Microsoft tanácsadója a Windows 11 24H2, 25H2 és 26H1 x64 rendszerekre, valamint a Windows Server 2025 és a Windows Server 2025 Server Core rendszerekre összpontosít. A Windows 10 esetében a WinRE konfigurációjának különbségei miatt nem jelentkeznek problémák. A nyilvános technikai elemzések a Windows Server 2022-t is megjelölik, mint potenciálisan sebezhetőt bizonyos telepítési feltételek mellett, ugyanezen WinRE helyreállítási útvonal hiba révén, bár a Microsoft még nem foglalkozott vele hivatalosan a tanácsadásában.

A Nightmare-Eclipse néven ismert exploit mögött álló kutató még azelőtt hozta nyilvánosságra, hogy a Microsoft bármilyen iránymutatást kiadott volna. A Microsoft az esetet a sérülékenységek összehangolt közzétételi gyakorlatának megsértésének nevezte.