В Microsoft рассказали, как защититься от 0-day-уязвимости YellowKey для обхода BitLocker - «Новости» » Интернет технологии
sitename
Разработчики Flipper Zero пересмотрели подход к развитию прошивки - «Новости»
Разработчики Flipper Zero пересмотрели подход к развитию прошивки - «Новости»
Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»
Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»
19-летнего участника группировки Scattered Spider экстрадировали в США - «Новости»
19-летнего участника группировки Scattered Spider экстрадировали в США - «Новости»
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные - «Новости»
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные - «Новости»
Вымогательская группа Gentlemen обновляет свой инструментарий - «Новости»
Вымогательская группа Gentlemen обновляет свой инструментарий - «Новости»
Российские двигатели в последний раз доставили на орбиту пакет спутников Amazon Leo на ракете Atlas V - «Новости сети»
Российские двигатели в последний раз доставили на орбиту пакет спутников Amazon Leo на ракете Atlas V - «Новости сети»
GitHub подшутила над Sony и предложила разработчикам выслать их репозитории на CD-дисках - «Новости сети»
GitHub подшутила над Sony и предложила разработчикам выслать их репозитории на CD-дисках - «Новости сети»
Xiaomi похвасталась, что продала 500 млн смартфонов Redmi Note — новый Redmi Note 17 уже на подходе - «Новости сети»
Xiaomi похвасталась, что продала 500 млн смартфонов Redmi Note — новый Redmi Note 17 уже на подходе - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » В Microsoft рассказали, как защититься от 0-day-уязвимости YellowKey для обхода BitLocker - «Новости»

Разработчики Microsoft представили временные защитные меры для проблемы YellowKey — 0-day-уязвимости для обхода BitLocker, которая позволяет получить доступ к зашифрованным данным на Windows-устройствах при наличии доступа к системе. Уязвимость получила идентификатор CVE-2026-45585 и оценку 6,8 балла по шкале CVSS.


Напомним, что о баге стало известно на прошлой неделе, когда ИБ-исследователь под псевдонимом Chaotic Eclipse (он же Nightmare Eclipse) опубликовал PoC-эксплоит и подробное описание атаки.


По словам специалиста, для эксплуатации бага достаточно записать специально подготовленные файлы FsTx на USB-накопитель или в EFI-раздел, после чего нужно перезагрузить систему в Windows Recovery Environment (WinRE). Вместо стандартного режима восстановления атакующий получает доступ к командной оболочке и содержимому диска, расшифрованному BitLocker.


Теперь представители Microsoft подтвердили наличие проблемы и предупредили, что успешная атака позволяет обойти механизм шифрования BitLocker Device Encryption и получить доступ к защищенным данным.


Пока разработчики работают над полноценным патчем, Microsoft рекомендует отключить автоматический запуск утилиты FsTx Auto Recovery (autofstx.exe) в среде WinRE. Для этого администраторам необходимо изменить параметры WinRE-образа и удалить запись autofstx.exe из значения BootExecute в разделе Session Manager.


Также в Microsoft советуют отказаться от конфигурации BitLocker в режиме TPM-only и включить дополнительную защиту TPM+PIN, чтобы для расшифровки диска при загрузке требовался PIN-код. Однако сам Nightmare Eclipse утверждает, что YellowKey способен обходить защиту даже на системах с активным TPM+PIN.


Как поясняет аналитик компании Tharros Labs Уилл Дорман (Will Dormann), механизм Transactional NTFS Replay позволяет эксплоиту удалять файл winpeshl.ini, определяющий поведение WinRE. В результате вместо среды восстановления система открывает перед атакующим командную строку с уже разблокированным BitLocker-разделом.


Дорман отмечает, что особенно тревожным выглядит тот факт, что каталог ystem Volume InformationFsTx в одном разделе способен изменять содержимое другого раздела во время replay-процесса. По его словам, это может указывать на более фундаментальную проблему в механизме Transactional NTFS.


Отметим, что YellowKey — не единственная опубликованная исследователем 0-day-уязвимость в Windows за последнее время. Кроме нее Nightmare Eclipse раскрыл информацию об уязвимостях BlueHammer (CVE-2026-33825), GreenPlasma, RedSun и UnDefend, некоторые из которых уже используются в реальных атаках. Исследователь заявляет, что делает это в знак протеста против того, как в Microsoft Security Response Center (MSRC) относятся к ИБ-специалистам. По его словам, представители Microsoft угрожали ему и обещали «разрушить его жизнь».


Разработчики Microsoft представили временные защитные меры для проблемы YellowKey — 0-day-уязвимости для обхода BitLocker, которая позволяет получить доступ к зашифрованным данным на Windows-устройствах при наличии доступа к системе. Уязвимость получила идентификатор CVE-2026-45585 и оценку 6,8 балла по шкале CVSS. Напомним, что о баге стало известно на прошлой неделе, когда ИБ-исследователь под псевдонимом Chaotic Eclipse (он же Nightmare Eclipse) опубликовал PoC-эксплоит и подробное описание атаки. По словам специалиста, для эксплуатации бага достаточно записать специально подготовленные файлы FsTx на USB-накопитель или в EFI-раздел, после чего нужно перезагрузить систему в Windows Recovery Environment (WinRE). Вместо стандартного режима восстановления атакующий получает доступ к командной оболочке и содержимому диска, расшифрованному BitLocker. Теперь представители Microsoft подтвердили наличие проблемы и предупредили, что успешная атака позволяет обойти механизм шифрования BitLocker Device Encryption и получить доступ к защищенным данным. Пока разработчики работают над полноценным патчем, Microsoft рекомендует отключить автоматический запуск утилиты FsTx Auto Recovery (autofstx.exe) в среде WinRE. Для этого администраторам необходимо изменить параметры WinRE-образа и удалить запись autofstx.exe из значения BootExecute в разделе Session Manager. Также в Microsoft советуют отказаться от конфигурации BitLocker в режиме TPM-only и включить дополнительную защиту TPM PIN, чтобы для расшифровки диска при загрузке требовался PIN-код. Однако сам Nightmare Eclipse утверждает, что YellowKey способен обходить защиту даже на системах с активным TPM PIN. Как поясняет аналитик компании Tharros Labs Уилл Дорман (Will Dormann), механизм Transactional NTFS Replay позволяет эксплоиту удалять файл winpeshl.ini, определяющий поведение WinRE. В результате вместо среды восстановления система открывает перед атакующим командную строку с уже разблокированным BitLocker-разделом. Дорман отмечает, что особенно тревожным выглядит тот факт, что каталог ystem Volume InformationFsTx в одном разделе способен изменять содержимое другого раздела во время replay-процесса. По его словам, это может указывать на более фундаментальную проблему в механизме Transactional NTFS. Отметим, что YellowKey — не единственная опубликованная исследователем 0-day-уязвимость в Windows за последнее время. Кроме нее Nightmare Eclipse раскрыл информацию об уязвимостях BlueHammer (CVE-2026-33825), GreenPlasma, RedSun и UnDefend, некоторые из которых уже используются в реальных атаках. Исследователь заявляет, что делает это в знак протеста против того, как в Microsoft Security Response Center (MSRC) относятся к ИБ-специалистам. По его словам, представители Microsoft угрожали ему и обещали «разрушить его жизнь».
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: