Microsoft дала временную защиту от уязвимости YellowKey — обхода BitLocker через среду восстановления Windows

Microsoft начала отслеживать YellowKey как CVE-2026-45585 и выпустила временные меры защиты 19 мая 2026 года. Уязвимость относится к классу обхода функции безопасности: при успешной эксплуатации злоумышленник может открыть доступ к тому, что BitLocker должен держать зашифрованным. Затронуты Windows 11, Windows Server 2022 и Windows Server 2025. Windows 10 в опубликованных технических описаниях не указана среди уязвимых систем.

YellowKey стал публичным после публикации демонстрационного эксплойта исследователем под псевдонимом Nightmare-Eclipse. В репозитории на GitHub лежит набор файлов FsTx и инструкция по воспроизведению: файлы помещаются на USB-накопитель в каталог System Volume Information\FsTx, после чего устройство загружается в среду восстановления Windows — WinRE. В результате вместо обычного сценария восстановления может открыться командная строка с доступом к тому, что защищено BitLocker.

WinRE — это отдельная среда восстановления Windows, которая используется для диагностики и ремонта системы, когда обычная загрузка невозможна. Microsoft описывает её как среду на базе Windows PE, поставляемую вместе с Windows 10, Windows 11 и серверными версиями Windows. Именно этот слой оказался ключевой частью атаки: проблема проявляется до полноценной загрузки основной ОС, из-за чего обычные средства защиты конечной точки могут не увидеть сам момент выполнения.

Суть YellowKey — в обработке значения BootExecute в реестре внутри образа WinRE. В опубликованных разборах фигурирует autofstx.exe — компонент, который запускается при старте среды восстановления. Временная рекомендация Microsoft сводится к тому, чтобы удалить запись autofstx.exe из BootExecute в смонтированном образе WinRE, затем пересоздать доверие BitLocker к среде восстановления через reagentc /disable и reagentc /enable.

Важная рекомендация временной защиты — отказ от BitLocker в режиме TPM-only. В таком режиме диск открывается автоматически, если модуль доверенной платформы TPM подтверждает, что цепочка загрузки выглядит ожидаемо. Это удобно: пользователю не нужно вводить PIN до запуска Windows. Минус тоже очевиден: при определенных атаках удобство превращается в слабое место. Microsoft в документации указывает, что TPM+PIN добавляет еще один фактор до загрузки системы и не дает получить доступ к данным без ввода PIN.

Microsoft рекомендует перевести уже зашифрованные устройства в режим TPM+PIN через PowerShell, командную строку или панель управления. Для новых устройств администраторы могут включить требование дополнительной проверки при запуске через Intune или групповые политики, а параметр TPM startup PIN выставить в режим обязательного PIN с TPM.

Публичный эксплойт уязвимости, который проверяли независимые исследователи, рассчитан на физический доступ к машине и TPM-only BitLocker. Это не удаленная атака через интернет.