Microsoft опубликовала меры снижения рисков для YellowKey – недавно раскрытой уязвимости «нулевого дня» Windows BitLocker, которая позволяет получать доступ к защищённым дискам.
Данная проблема безопасности была раскрыта на прошлой неделе исследователем под псевдонимом Chaotic Eclipse, который описал её как бэкдор и опубликовал эксплойт «доказательства концепции».
Chaotic Eclipse сообщил, что эксплуатация этой уязвимости «нулевого дня» включает размещение специально сформированных файлов «FsTx» на USB-накопителе или EFI-разделе, перезагрузку в WinRE, а затем запуск shell с неограниченным доступом к тому хранения, защищённому BitLocker, путём удерживания клавиши Ctrl.
В прошлом месяце он также раскрыл уязвимости BlueHammer (CVE-2026-33825) и RedSun (без идентификатора) «нулевого дня» с повышением локальных привилегий (LPE), обе из которых сейчас используются в атаках. Исследователь также раскрыл информацию о GreenPlasma – уязвимости «нулевого дня» повышения привилегий, которую атакующие могут использовать для получения SYSTEM shell, а также UnDefend – ещё одной уязвимости «нулевого дня», которую атакующие с обычными пользовательскими правами могут использовать для блокировки обновлений сигнатур Microsoft Defender.
Microsoft публикует меры снижения рисков для YellowKey
Во вторник, 19 мая, Microsoft заявила, что отслеживает уязвимость YellowKey под идентификатором CVE-2026-45585 и уже опубликовала меры по смягчению для защиты от потенциальных атак, использующих её в реальной среде.
В бюллетене безопасности отмечается:
Microsoft осведомлена об уязвимости обхода функций безопасности в Windows, публично известной как «YellowKey». PoC-эксплойт для этой уязвимости был опубликован с нарушением лучших практик координированного раскрытия уязвимостей.
Мы предоставляем рекомендации по смягчению, которые можно внедрить для защиты от этой уязвимости до тех пор, пока не станет доступно обновление безопасности.
Для смягчения атак YellowKey Microsoft рекомендовала удалить запись autofstx.exe из значения REG_MULTI_SZ BootExecute в Session Manager, а затем восстановить доверие BitLocker к WinRE, следуя процедуре, описанной в разделе «Mitigations» в бюллетене CVE-2026-33825.
Уилл Дорман (Will Dormann), ведущий аналитик уязвимостей в Tharros, пояснил:
В частности, вы предотвращаете автоматический запуск утилиты FsTx Auto Recovery Utility,
autofstx.exe, при запуске образа WinRE. С этим изменением больше не происходит повторное выполнение Transactional NTFS, которое удаляетwinpeshl.ini.
Microsoft также рекомендовала клиентам настроить BitLocker на уже зашифрованных устройствах с режима «TPM-only» на «TPM+PIN» через PowerShell, командную строку или панель управления, что будет требовать pre-boot PIN для расшифровки диска при запуске и должно блокировать атаки YellowKey.
На устройствах, которые ещё не зашифрованы, администраторы могут включить опцию «Запрашивать дополнительную аутентификацию при запуске» (Require additional authentication at startup) через Microsoft Intune или групповые политики, при этом убедившись, что параметр «Настроить PIN-код запуска TPM» (Configure TPM startup PIN) установлен в значение «Требовать PIN-код запуска с TPM» (Require startup PIN with TPM).