Microsoft publikuje mitigację dla YellowKey: obejście BitLocker oznaczone jako CVE-2026-45585 - Security Bez Tabu

Microsoft publikuje mitigację dla YellowKey: obejście BitLocker oznaczone jako CVE-2026-45585

Cybersecurity news

Wprowadzenie do problemu / definicja

Microsoft opublikował działania ograniczające ryzyko dla podatności YellowKey, oznaczonej jako CVE-2026-45585. Problem dotyczy mechanizmu ochrony BitLocker i umożliwia obejście zabezpieczenia w określonych warunkach przed uruchomieniem systemu, przede wszystkim w scenariuszach zakładających fizyczny dostęp do urządzenia.

Nie jest to klasyczna luka prowadząca do zdalnego wykonania kodu czy pełnego przejęcia hosta przez sieć. Zagrożenie koncentruje się na poufności danych zapisanych na nośniku, ponieważ atakujący może wykorzystać zaufane środowisko przedstartowe do uzyskania dostępu do woluminu chronionego przez BitLocker.

W skrócie

YellowKey to publicznie ujawniona podatność typu security feature bypass w systemach Windows i Windows Server. W opisywanym scenariuszu ataku wykorzystywane są zachowania Windows Recovery Environment oraz komponenty powiązane z obsługą FsTx, co może doprowadzić do uruchomienia uprzywilejowanej powłoki z dostępem do danych na zaszyfrowanym woluminie.

  • luka została oznaczona jako CVE-2026-45585,
  • atak wymaga fizycznego dostępu do urządzenia,
  • problem nie polega na złamaniu kryptografii BitLocker,
  • Microsoft zaleca modyfikację obrazu WinRE,
  • dodatkową kontrolą ochronną jest przejście z TPM-only na TPM+PIN.

Kontekst / historia

BitLocker od lat stanowi natywny mechanizm pełnodyskowego szyfrowania w systemach Windows. Jego głównym celem jest ochrona danych po utracie, kradzieży lub nieautoryzowanym przejęciu urządzenia. W typowych wdrożeniach ważną rolę odgrywa moduł TPM, który wspiera weryfikację integralności procesu rozruchu i może automatycznie odblokować wolumin, jeśli środowisko startowe spełnia oczekiwane warunki.

W przypadku YellowKey problem nie wynika jednak ze słabości algorytmów szyfrowania. To obejście funkcji bezpieczeństwa, które podważa zaufanie do sekwencji odzyskiwania przed uruchomieniem właściwego systemu operacyjnego. Publiczne ujawnienie problemu wraz z proof-of-concept podnosi ryzyko szybkiego wykorzystania, szczególnie wobec urządzeń pozostających poza ścisłą kontrolą fizyczną.

Według opisu problem obejmuje wybrane nowoczesne wersje Windows 11 dla architektury x64 oraz Windows Server 2025. Oznacza to, że luka ma znaczenie nie tylko dla środowisk użytkowników końcowych, ale także dla infrastruktury serwerowej, jeśli lokalny dostęp do urządzenia nie jest odpowiednio ograniczony.

Analiza techniczna

Scenariusz YellowKey koncentruje się na łańcuchu rozruchu oraz działaniu Windows Recovery Environment. Z publicznych opisów wynika, że atakujący przygotowuje odpowiednio spreparowane pliki FsTx i umieszcza je na nośniku USB albo partycji EFI, a następnie wymusza uruchomienie środowiska odzyskiwania.

W efekcie możliwe staje się uzyskanie powłoki działającej w zaufanym kontekście przedstartowym, z szerokim dostępem do danych znajdujących się na woluminie chronionym przez BitLocker. To kluczowe rozróżnienie: szyfrowanie nie zostaje matematycznie złamane, lecz ominięte przez nadużycie ścieżki rozruchowej i narzędzi pomocniczych obecnych w WinRE.

Microsoft wskazał mitigację techniczną polegającą na modyfikacji obrazu Windows Recovery Environment. Procedura obejmuje zamontowanie obrazu WinRE, podłączenie odpowiedniej gałęzi rejestru, usunięcie wpisu odpowiadającego za automatyczne uruchamianie autofstx.exe z wartości BootExecute, a następnie zapisanie zmian i ponowne ustanowienie zaufania BitLocker do zmodyfikowanego środowiska odzyskiwania.

Z perspektywy bezpieczeństwa równie ważne jest odejście od modelu TPM-only. Gdy urządzenie korzysta wyłącznie z TPM, wolumin może zostać automatycznie odblokowany po spełnieniu warunków integralności platformy. Dodanie kodu PIN wymusza drugi czynnik uwierzytelnienia przed odszyfrowaniem dysku i znacząco utrudnia wykorzystanie ataku opierającego się na samym fizycznym dostępie do sprzętu.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją CVE-2026-45585 jest możliwość utraty poufności danych, jeśli napastnik uzyska fizyczny dostęp do stacji roboczej lub serwera. Ryzyko jest szczególnie istotne w organizacjach, które traktowały BitLocker w konfiguracji TPM-only jako wystarczającą ochronę przed atakami offline.

  • laptopy pracowników mobilnych,
  • urządzenia pozostawiane bez nadzoru,
  • systemy w oddziałach z ograniczoną kontrolą fizyczną,
  • sprzęt zwracany po zakończeniu pracy użytkownika,
  • serwery z niewystarczająco zabezpieczoną konsolą lokalną.

Atak nie wymaga wcześniejszego przejęcia konta, obecności malware ani dostępu sieciowego. To sprawia, że YellowKey jest szczególnie niebezpieczny w scenariuszach kradzieży sprzętu, działań insidera oraz sytuacjach, w których przeciwnik może analizować urządzenie poza organizacją.

Luka przypomina też, że bezpieczeństwo danych spoczywających zależy nie tylko od jakości kryptografii, ale również od integralności całej ścieżki preboot, polityk startowych, konfiguracji firmware oraz skuteczności fizycznych zabezpieczeń sprzętu.

Rekomendacje

Administratorzy i zespoły bezpieczeństwa powinni potraktować ten problem jako priorytet w obszarze hardeningu stacji roboczych i serwerów. Odpowiedź na ryzyko powinna obejmować zarówno działania techniczne, jak i organizacyjne.

  • Zastosować mitigację Microsoft dla WinRE – zmodyfikować obraz Windows Recovery Environment zgodnie z opublikowaną procedurą i usunąć automatyczne uruchamianie autofstx.exe przez BootExecute.
  • Przejść z TPM-only na TPM+PIN – to najważniejsza kontrola kompensacyjna, która znacząco podnosi odporność na ataki wymagające wyłącznie fizycznego dostępu.
  • Włączyć dodatkowe uwierzytelnianie przy starcie – szczególnie na nowo wdrażanych urządzeniach warto wymusić polityki dodatkowej autoryzacji podczas rozruchu.
  • Ograniczyć bootowanie z nośników zewnętrznych – w UEFI/BIOS należy rozważyć blokadę startu z USB, ochronę ustawień firmware hasłem oraz użycie Secure Boot tam, gdzie jest to możliwe.
  • Wzmocnić kontrolę fizyczną nad urządzeniami – procedury dotyczące transportu, przechowywania i zwrotu sprzętu powinny uwzględniać ryzyko ataków offline.
  • Zidentyfikować systemy o najwyższym ryzyku – priorytetowo potraktować urządzenia kadry kierowniczej, administratorów, działów finansowych, prawnych i badawczo-rozwojowych.
  • Zaktualizować playbooki reagowania – scenariusze związane z utratą laptopa lub serwera powinny zakładać, że sam BitLocker w trybie TPM-only może nie zapewniać pełnej ochrony.

Podsumowanie

YellowKey, oznaczone jako CVE-2026-45585, pokazuje, że skuteczność ochrony oferowanej przez szyfrowanie pełnodyskowe zależy od integralności całego procesu rozruchu, a nie wyłącznie od siły zastosowanych mechanizmów kryptograficznych. Publiczna dostępność informacji o luce i opisów technicznych zwiększa presję na szybkie wdrożenie środków ograniczających ryzyko.

W praktyce organizacje powinny niezwłocznie przeanalizować swoją ekspozycję, wdrożyć mitigację dla WinRE oraz odchodzić od modelu TPM-only na rzecz TPM+PIN. Dla wielu środowisk będzie to najbardziej efektywna odpowiedź na ryzyko nieautoryzowanego dostępu do danych po przejęciu urządzenia.

Źródła

  1. Microsoft Releases Mitigation for YellowKey BitLocker Bypass CVE-2026-45585 Exploit — https://thehackernews.com/2026/05/microsoft-releases-mitigation-for.html
  2. BitLocker overview | Microsoft Learn — https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/
  3. Configure BitLocker | Microsoft Learn — https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/configure
  4. Security Update Guide – CVE-2026-45585 | Microsoft Security Response Center — https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45585