- Автор темы
- #1
Разработчики Microsoft представили временные защитные меры для проблемы YellowKey — 0-day-уязвимости для обхода BitLocker, которая позволяет получить доступ к зашифрованным данным на Windows-устройствах при наличии доступа к системе. Уязвимость получила идентификатор CVE-2026-45585 и оценку 6,8 балла по шкале CVSS.
Напомним, что о баге стало известно на прошлой неделе, когда ИБ-исследователь под псевдонимом Chaotic Eclipse (он же Nightmare Eclipse) опубликовал PoC-эксплоит и подробное описание атаки.
По словам специалиста, для эксплуатации бага достаточно записать специально подготовленные файлы FsTx на USB-накопитель или в EFI-раздел, после чего нужно перезагрузить систему в Windows Recovery Environment (WinRE). Вместо стандартного режима восстановления атакующий получает доступ к командной оболочке и содержимому диска, расшифрованному BitLocker.
Теперь представители Microsoft подтвердили наличие проблемы и предупредили, что успешная атака позволяет обойти механизм шифрования BitLocker Device Encryption и получить доступ к защищенным данным.
Пока разработчики работают над полноценным патчем, Microsoft рекомендует отключить автоматический запуск утилиты FsTx Auto Recovery (autofstx.exe) в среде WinRE. Для этого администраторам необходимо изменить параметры WinRE-образа и удалить запись autofstx.exe из значения BootExecute в разделе Session Manager.
Также в Microsoft советуют отказаться от конфигурации BitLocker в режиме TPM-only и включить дополнительную защиту TPM+PIN, чтобы для расшифровки диска при загрузке требовался PIN-код. Однако сам Nightmare Eclipse утверждает, что YellowKey способен обходить защиту даже на системах с активным TPM+PIN.
Как поясняет аналитик компании Tharros Labs Уилл Дорман (Will Dormann), механизм Transactional NTFS Replay позволяет эксплоиту удалять файл winpeshl.ini, определяющий поведение WinRE. В результате вместо среды восстановления система открывает перед атакующим командную строку с уже разблокированным BitLocker-разделом.
Дорман отмечает, что особенно тревожным выглядит тот факт, что каталог \System Volume Information\FsTx в одном разделе способен изменять содержимое другого раздела во время replay-процесса. По его словам, это может указывать на более фундаментальную проблему в механизме Transactional NTFS.
Отметим, что YellowKey — не единственная опубликованная исследователем 0-day-уязвимость в Windows за последнее время. Кроме нее Nightmare Eclipse раскрыл информацию об уязвимостях BlueHammer (CVE-2026-33825), GreenPlasma, RedSun и UnDefend, некоторые из которых уже используются в реальных атаках. Исследователь заявляет, что делает это в знак протеста против того, как в Microsoft Security Response Center (MSRC) относятся к ИБ-специалистам. По его словам, представители Microsoft угрожали ему и обещали «разрушить его жизнь».
Напомним, что о баге стало известно на прошлой неделе, когда ИБ-исследователь под псевдонимом Chaotic Eclipse (он же Nightmare Eclipse) опубликовал PoC-эксплоит и подробное описание атаки.
По словам специалиста, для эксплуатации бага достаточно записать специально подготовленные файлы FsTx на USB-накопитель или в EFI-раздел, после чего нужно перезагрузить систему в Windows Recovery Environment (WinRE). Вместо стандартного режима восстановления атакующий получает доступ к командной оболочке и содержимому диска, расшифрованному BitLocker.
Теперь представители Microsoft подтвердили наличие проблемы и предупредили, что успешная атака позволяет обойти механизм шифрования BitLocker Device Encryption и получить доступ к защищенным данным.
Пока разработчики работают над полноценным патчем, Microsoft рекомендует отключить автоматический запуск утилиты FsTx Auto Recovery (autofstx.exe) в среде WinRE. Для этого администраторам необходимо изменить параметры WinRE-образа и удалить запись autofstx.exe из значения BootExecute в разделе Session Manager.
Также в Microsoft советуют отказаться от конфигурации BitLocker в режиме TPM-only и включить дополнительную защиту TPM+PIN, чтобы для расшифровки диска при загрузке требовался PIN-код. Однако сам Nightmare Eclipse утверждает, что YellowKey способен обходить защиту даже на системах с активным TPM+PIN.
Как поясняет аналитик компании Tharros Labs Уилл Дорман (Will Dormann), механизм Transactional NTFS Replay позволяет эксплоиту удалять файл winpeshl.ini, определяющий поведение WinRE. В результате вместо среды восстановления система открывает перед атакующим командную строку с уже разблокированным BitLocker-разделом.
Дорман отмечает, что особенно тревожным выглядит тот факт, что каталог \System Volume Information\FsTx в одном разделе способен изменять содержимое другого раздела во время replay-процесса. По его словам, это может указывать на более фундаментальную проблему в механизме Transactional NTFS.
Отметим, что YellowKey — не единственная опубликованная исследователем 0-day-уязвимость в Windows за последнее время. Кроме нее Nightmare Eclipse раскрыл информацию об уязвимостях BlueHammer (CVE-2026-33825), GreenPlasma, RedSun и UnDefend, некоторые из которых уже используются в реальных атаках. Исследователь заявляет, что делает это в знак протеста против того, как в Microsoft Security Response Center (MSRC) относятся к ИБ-специалистам. По его словам, представители Microsoft угрожали ему и обещали «разрушить его жизнь».