Microsoft выпустила временное решение для уязвимости BitLocker YellowKey

Microsoft выпустила временное решение для уязвимости BitLocker YellowKey (CVE-2026-45585), которая позволяет злоумышленникам с физическим доступом к устройству получить полный доступ к зашифрованным данным без ввода пароля. Полноценное обновление безопасности пока не выпущено.

Уязвимость YellowKey использует механизм транзакционной NTFS (TxF) для удаления файла winpeshl.ini. Это приводит к тому, что среда восстановления Windows (WinRE) запускает неограниченную командную строку вместо стандартного интерфейса восстановления. Для атаки злоумышленнику достаточно USB-накопителя и возможности перезагрузить устройство в режим восстановления.

Временное решение от Microsoft блокирует атаку путем отключения файла autofstx.exe (инструмент автоматического восстановления FsTx) в образе WinRE. Администраторам необходимо смонтировать образ WinRE на каждом затронутом устройстве, загрузить системный раздел реестра и удалить запись autofstx.exe из параметра BootExecute диспетчера сеансов. Microsoft также рекомендует перевести устройства с высоким уровнем риска с режима «только TPM» на режим «TPM + PIN-код», что значительно усложнит физическую атаку.

Под уязвимость попадают Windows 11 версий 24H2, 25H2 и 26H1 (архитектура x64), а также Windows Server 2025 и Server Core. Windows 10 не подвержена проблеме из-за различий в конфигурации WinRE. Тем не менее, некоторые исследователи безопасности отмечают, что Windows Server 2022 при определенных условиях развертывания также может быть уязвим, однако Microsoft официально это не подтвердила.