Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
YellowKey colpisce BitLocker: zero-day CVE-2026-45585 bypassa la cifratura con accesso fisico e PoC pubblico
Microsoft ha rilasciato una mitigazione per YellowKey, una vulnerabilita zero day che consente il bypass di BitLocker ed e tracciata come CVE 2026 45585 con punteggio CVSS 6.8. Il problema e classificato come bypass di una funzionalita di sicurezza e riguarda diversi sistemi, tra cui Windows 11 nelle versioni 26H1 24H2 e 25H2 su architettura x64, oltre a Windows Server 2025 anche in installazione Server Core.
La disponibilita pubblica di un proof of concept ha aumentato l urgenza di adottare contromisure, soprattutto negli scenari in cui i dispositivi possono essere esposti a accesso fisico non autorizzato.
Come funziona l attacco YellowKey
YellowKey sfrutta un presupposto di fiducia nel percorso di ripristino pre boot. L attacco, in sintesi, prevede la preparazione di file FsTx appositamente costruiti su una chiavetta USB o su una partizione EFI, il collegamento del supporto al computer con BitLocker attivo, il riavvio in Windows Recovery Environment e l attivazione di una shell con accesso illimitato tramite una combinazione di tasti. Se l exploit riesce, un aggressore con accesso fisico puo aggirare BitLocker Device Encryption sul disco di sistema e leggere i dati cifrati, senza dover installare software, senza credenziali e senza rete.
Questo rende critici i contesti come uffici condivisi, postazioni in reception, laboratori, magazzini, laptop in viaggio e dispositivi lasciati incustoditi.
Mitigazione Microsoft: intervento su WinRE
La mitigazione indicata interviene su WinRE per impedire l avvio automatico della utility di ripristino FsTx autofstx exe. A livello operativo, il percorso prevede di:
- Montare l immagine WinRE
- Montare l hive di registro di sistema relativo
- Modificare BootExecute rimuovendo il valore autofstx exe dalla chiave Session Manager BootExecute di tipo REG MULTI SZ
- Salvare e scaricare l hive
- Smontare e applicare le modifiche alla immagine WinRE
- Ristabilire la trust di BitLocker per WinRE
Questa modifica evita il comportamento che consente di arrivare alla shell non limitata durante la sequenza di recupero.
Raccomandazioni aggiuntive: passare a TPM piu PIN
Microsoft raccomanda inoltre di rafforzare la configurazione di BitLocker passando da TPM only a TPM piu PIN, cosi da richiedere un PIN all avvio per decifrare il disco e bloccare di fatto l abuso del flusso di recovery.
Per i dispositivi non ancora cifrati, gli amministratori dovrebbero abilitare il criterio Require additional authentication at startup tramite Intune o Group Policy e impostare Configure TPM startup PIN su Require startup PIN with TPM.