5月21日消息,针对近期公开披露的BitLocker绕过漏洞YellowKey(CVE-2026-45585),微软已发布临时缓解方案,但完整安全补丁尚未推出。
该漏洞允许攻击者在拥有物理接触权限的情况下,无需凭据、无需安装软件、无需网络连接即可获取磁盘未加密内容的完整访问权限。
YellowKey的利用原理是通过事务性NTFS(TxF)删除winpeshl.ini文件,导致WinRE恢复环境启动一个不受限制的命令行外壳,而非标准的恢复界面。
攻击者只需一个U盘和重启进入恢复模式的能力,即可完成整个攻击流程,由于概念验证代码已在互联网上公开,微软将利用可能性评估为"更可能"。
微软的临时缓解方案通过禁用WinRE镜像中的autofstx.exe(FsTx自动恢复工具)来阻断攻击路径。
管理员需要挂载每台受影响设备的WinRE镜像,加载系统注册表配置单元,并从Session Manager的BootExecute值中移除autofstx.exe条目。
微软同时建议将高风险设备从仅TPM模式切换至TPM+PIN模式,大幅提高物理攻击的门槛。
受影响系统包括Windows 11 24H2、25H2、26H1(x64架构)以及Windows Server 2025和Server Core,Windows 10因WinRE配置差异不受影响。
不过,有安全研究人员指出Windows Server 2022在特定部署条件下可能同样存在漏洞,微软尚未在官方公告中正式确认。
