YellowKey colpisce BitLocker: zero-day CVE-2026-45585 bypassa la cifratura con accesso fisico e PoC pubblico

Microsoft ha rilasciato una mitigazione per YellowKey, una vulnerabilita zero day che consente il bypass di BitLocker ed e tracciata come CVE 2026 45585 con punteggio CVSS 6.8. Il problema e classificato come bypass di una funzionalita di sicurezza e riguarda diversi sistemi, tra cui Windows 11 nelle versioni 26H1 24H2 e 25H2 su architettura x64, oltre a Windows Server 2025 anche in installazione Server Core.

La disponibilita pubblica di un proof of concept ha aumentato l urgenza di adottare contromisure, soprattutto negli scenari in cui i dispositivi possono essere esposti a accesso fisico non autorizzato.

Come funziona l attacco YellowKey

YellowKey sfrutta un presupposto di fiducia nel percorso di ripristino pre boot. L attacco, in sintesi, prevede la preparazione di file FsTx appositamente costruiti su una chiavetta USB o su una partizione EFI, il collegamento del supporto al computer con BitLocker attivo, il riavvio in Windows Recovery Environment e l attivazione di una shell con accesso illimitato tramite una combinazione di tasti. Se l exploit riesce, un aggressore con accesso fisico puo aggirare BitLocker Device Encryption sul disco di sistema e leggere i dati cifrati, senza dover installare software, senza credenziali e senza rete.

Questo rende critici i contesti come uffici condivisi, postazioni in reception, laboratori, magazzini, laptop in viaggio e dispositivi lasciati incustoditi.

Mitigazione Microsoft: intervento su WinRE

La mitigazione indicata interviene su WinRE per impedire l avvio automatico della utility di ripristino FsTx autofstx exe. A livello operativo, il percorso prevede di:

• Montare l immagine WinRE
• Montare l hive di registro di sistema relativo
• Modificare BootExecute rimuovendo il valore autofstx exe dalla chiave Session Manager BootExecute di tipo REG MULTI SZ
• Salvare e scaricare l hive
• Smontare e applicare le modifiche alla immagine WinRE
• Ristabilire la trust di BitLocker per WinRE

Questa modifica evita il comportamento che consente di arrivare alla shell non limitata durante la sequenza di recupero.

Raccomandazioni aggiuntive: passare a TPM piu PIN

Microsoft raccomanda inoltre di rafforzare la configurazione di BitLocker passando da TPM only a TPM piu PIN, cosi da richiedere un PIN all avvio per decifrare il disco e bloccare di fatto l abuso del flusso di recovery.

Per i dispositivi non ancora cifrati, gli amministratori dovrebbero abilitare il criterio Require additional authentication at startup tramite Intune o Group Policy e impostare Configure TPM startup PIN su Require startup PIN with TPM.