Microsoft смягчает последствия обхода YellowKey BitLocker, исправлений пока нет

Компания Microsoft выпустила руководство по устранению последствий YellowKey, публично раскрытого обхода BitLocker, который теперь отслеживается как CVE-2026-45585, после того, как рабочий пример концепции был опубликован без согласованного раскрытия. Полноценное обновление безопасности пока не доступно. Компания подтвердила, что работает над постоянным исправлением, и настоятельно рекомендует администраторам затронутых версий Windows немедленно применить временные меры.

Что делает уязвимость

Эксплойт работает путем удаления winpeshl.ini через Transactional NTFS (TxF), что заставляет среду восстановления WinRE запускать неограниченную оболочку вместо загрузки стандартного интерфейса восстановления. Отсюда злоумышленник, имеющий физический доступ, получает полный, незашифрованный доступ к содержимому диска, не требующий никаких учетных данных, установки программного обеспечения или подключения к сети.

Решение Microsoft решает эту проблему путем отключения autofstx.exe, утилиты автоматического восстановления FsTx, в образе WinRE. Администраторы должны смонтировать образ WinRE на каждом затронутом устройстве, загрузить ветку системного реестра и удалить запись autofstx.exe из значения BootExecute диспетчера сессий. Microsoft также рекомендует перевести устройства с высоким уровнем риска с TPM-only BitLocker в режим TPM+PIN, который значительно усложняет физическую эксплуатацию.

Это обходной путь, а не исправление. Microsoft не подтвердила, когда выйдет полное обновление. До тех пор, пока это не произойдет, любая машина под управлением затронутой версии Windows с USB-портом и возможностью перезагрузки в режим восстановления является надежной мишенью для тех, у кого есть общедоступный код эксплойта.

Затронутые системы и то, что администраторы должны сделать сейчас

CVE-2026-45585 имеет CVSS-оценку 6.8 и требует физического доступа, но Microsoft оценивает возможность эксплуатации как "Более вероятную", учитывая, что доказательство концепции уже обнародовано. Совет Microsoft касается Windows 11 24H2, 25H2 и 26H1 на системах x64, а также Windows Server 2025 и Windows Server 2025 Server Core. Windows 10 не испытывает проблем из-за различий в конфигурации WinRE. Публичные технические анализы также отмечают Windows Server 2022 как потенциально уязвимый при определенных условиях развертывания через тот же дефект пути восстановления WinRE, хотя Microsoft еще не обращалась к нему официально в своих рекомендациях.

Исследователь, создавший эксплойт, известный под ником Nightmare-Eclipse, опубликовал его до того, как Microsoft выпустила какие-либо рекомендации. Microsoft назвала этот инцидент нарушением согласованной практики раскрытия уязвимостей.