На этой неделе Microsoft выпустила временное решение против уязвимости обхода BitLocker под названием «YellowKey». Однако за кулисами происходит гораздо больше.
В начале этого месяца стало известно о недавно раскрытой уязвимости безопасности Windows, которая позволяет злоумышленникам обходить защиту BitLocker. Проблема отслеживается под идентификатором CVE-2026-45585. Исследователь, обнаруживший её, опубликовал PoC-эксплойт под названием «YellowKey». По сути, из-за уязвимости в WinRE (Windows Recovery Environment) злоумышленник может использовать USB-накопитель для обхода BitLocker с помощью папки «FsTx».
Исследователь Chaotic Eclipse, обнаруживший эту проблему, также недавно опубликовал информацию о новой уязвимости MiniPlasma, которая позволяет злоумышленникам внедрять вредоносные изменения в реестр Windows.
После широкого распространения информации о YellowKey Microsoft на этой неделе опубликовала собственные рекомендации по защите, официально подтвердив наличие проблемы. В документе компания представила скрипт, который выступает в качестве «временного исправления безопасности» и снижает потенциальную поверхность атаки. Microsoft рекомендует использовать его тем, кто обеспокоен возможной кражей устройств или данных, например сотрудникам организаций, которые берут рабочие устройства домой или в командировки.
Microsoft объясняет работу меры защиты следующим образом:
Скрипт предназначен для WinRE и удаляет
autofstx.exeиз значения реестра BootExecute. Поскольку BootExecute запускает программы на очень раннем этапе загрузки системы (в том числе в режиме восстановления), удаление этой записи предотвращает запуск данного исполняемого файла в высокопривилегированной среде, что снижает риск. Скрипт монтирует образ WinRE, изменяет офлайн-ветку SYSTEM реестра, удаляя запись при её наличии, затем безопасно сохраняет изменения и повторно «запечатывает» WinRE, чтобы сохранить доверенную связь с BitLocker. Решение разработано как безопасное – если записьautofstx.exeотсутствует, скрипт завершит работу без внесения изменений.
Конфликт между Microsoft и исследователем
Хотя это выглядит как хорошая новость, Microsoft, судя по всему, также весьма недовольна действиями Chaotic Eclipse. Компания заявила, что «эксплойт доказательства концепции для данной уязвимости был опубликован публично с нарушением практик координированного раскрытия уязвимостей».
Сам исследователь также остался недоволен такой реакцией и написал в своём блоге следующее:
Дорогая Microsoft, что касается CVE-2026-45585, заявление о том, что я нарушил практики CVD, является клеветой и наносит ущерб моей репутации. Вы уже говорили мне, что собираетесь меня дискредитировать, и публичные заявления не помогут разрешить этот конфликт. Вы намеренно отозвали мой доступ к аккаунту MSRC, который я использовал для отправки отчётов об уязвимостях. Когда я обратился за объяснением, вы полностью удалили этот аккаунт, несмотря на многочисленные попытки получить ответ. Все эти обращения остались без ответа со стороны руководства MSRC. Я воспринимаю ваше заявление на личный счёт.
Таким образом, Chaotic Eclipse фактически переложил ответственность обратно на Microsoft, утверждая, что проблема изначально возникла по вине компании. Интересно, как ситуация будет развиваться дальше.