✔В Microsoft рассказали, как защититься от 0-day-уязвимости YellowKey для обхода BitLocker - «Новости»

22 мая 2026 45 Новости / Отступы и поля / Преимущества стилей / Изображения / Заработок / Вёрстка / Самоучитель CSS 0

Напомним, что о баге стало известно на прошлой неделе, когда ИБ-исследователь под псевдонимом Chaotic Eclipse (он же Nightmare Eclipse) опубликовал PoC-эксплоит и подробное описание атаки.

По словам специалиста, для эксплуатации бага достаточно записать специально подготовленные файлы FsTx на USB-накопитель или в EFI-раздел, после чего нужно перезагрузить систему в Windows Recovery Environment (WinRE). Вместо стандартного режима восстановления атакующий получает доступ к командной оболочке и содержимому диска, расшифрованному BitLocker.

Теперь представители Microsoft подтвердили наличие проблемы и предупредили, что успешная атака позволяет обойти механизм шифрования BitLocker Device Encryption и получить доступ к защищенным данным.

Пока разработчики работают над полноценным патчем, Microsoft рекомендует отключить автоматический запуск утилиты FsTx Auto Recovery (autofstx.exe) в среде WinRE. Для этого администраторам необходимо изменить параметры WinRE-образа и удалить запись autofstx.exe из значения BootExecute в разделе Session Manager.

Также в Microsoft советуют отказаться от конфигурации BitLocker в режиме TPM-only и включить дополнительную защиту TPM+PIN, чтобы для расшифровки диска при загрузке требовался PIN-код. Однако сам Nightmare Eclipse утверждает, что YellowKey способен обходить защиту даже на системах с активным TPM+PIN.

Как поясняет аналитик компании Tharros Labs Уилл Дорман (Will Dormann), механизм Transactional NTFS Replay позволяет эксплоиту удалять файл winpeshl.ini, определяющий поведение WinRE. В результате вместо среды восстановления система открывает перед атакующим командную строку с уже разблокированным BitLocker-разделом.

Дорман отмечает, что особенно тревожным выглядит тот факт, что каталог ystem Volume InformationFsTx в одном разделе способен изменять содержимое другого раздела во время replay-процесса. По его словам, это может указывать на более фундаментальную проблему в механизме Transactional NTFS.

Отметим, что YellowKey — не единственная опубликованная исследователем 0-day-уязвимость в Windows за последнее время. Кроме нее Nightmare Eclipse раскрыл информацию об уязвимостях BlueHammer (CVE-2026-33825), GreenPlasma, RedSun и UnDefend, некоторые из которых уже используются в реальных атаках. Исследователь заявляет, что делает это в знак протеста против того, как в Microsoft Security Response Center (MSRC) относятся к ИБ-специалистам. По его словам, представители Microsoft угрожали ему и обещали «разрушить его жизнь».

Разработчики Microsoft представили временные защитные меры для проблемы YellowKey — 0-day-уязвимости для обхода BitLocker, которая позволяет получить доступ к зашифрованным данным на Windows-устройствах при наличии доступа к системе. Уязвимость получила идентификатор CVE-2026-45585 и оценку 6,8 балла по шкале CVSS. Напомним, что о баге стало известно на прошлой неделе, когда ИБ-исследователь под псевдонимом Chaotic Eclipse (он же Nightmare Eclipse) опубликовал PoC-эксплоит и подробное описание атаки. По словам специалиста, для эксплуатации бага достаточно записать специально подготовленные файлы FsTx на USB-накопитель или в EFI-раздел, после чего нужно перезагрузить систему в Windows Recovery Environment (WinRE). Вместо стандартного режима восстановления атакующий получает доступ к командной оболочке и содержимому диска, расшифрованному BitLocker. Теперь представители Microsoft подтвердили наличие проблемы и предупредили, что успешная атака позволяет обойти механизм шифрования BitLocker Device Encryption и получить доступ к защищенным данным. Пока разработчики работают над полноценным патчем, Microsoft рекомендует отключить автоматический запуск утилиты FsTx Auto Recovery (autofstx.exe) в среде WinRE. Для этого администраторам необходимо изменить параметры WinRE-образа и удалить запись autofstx.exe из значения BootExecute в разделе Session Manager. Также в Microsoft советуют отказаться от конфигурации BitLocker в режиме TPM-only и включить дополнительную защиту TPM PIN, чтобы для расшифровки диска при загрузке требовался PIN-код. Однако сам Nightmare Eclipse утверждает, что YellowKey способен обходить защиту даже на системах с активным TPM PIN. Как поясняет аналитик компании Tharros Labs Уилл Дорман (Will Dormann), механизм Transactional NTFS Replay позволяет эксплоиту удалять файл winpeshl.ini, определяющий поведение WinRE. В результате вместо среды восстановления система открывает перед атакующим командную строку с уже разблокированным BitLocker-разделом. Дорман отмечает, что особенно тревожным выглядит тот факт, что каталог ystem Volume InformationFsTx в одном разделе способен изменять содержимое другого раздела во время replay-процесса. По его словам, это может указывать на более фундаментальную проблему в механизме Transactional NTFS. Отметим, что YellowKey — не единственная опубликованная исследователем 0-day-уязвимость в Windows за последнее время. Кроме нее Nightmare Eclipse раскрыл информацию об уязвимостях BlueHammer (CVE-2026-33825), GreenPlasma, RedSun и UnDefend, некоторые из которых уже используются в реальных атаках. Исследователь заявляет, что делает это в знак протеста против того, как в Microsoft Security Response Center (MSRC) относятся к ИБ-специалистам. По его словам, представители Microsoft угрожали ему и обещали «разрушить его жизнь».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.