Morse

**Nome do Software Vulnerável e Versões Afetadas** Windows 11 Windows Server 2022 Windows Server 2025 **Description** Uma falha de bypass de recurso de segurança conhecida como YellowKey afeta o componente BitLocker no Windows. Este problema permite que um invasor com acesso físico a um dispositivo ignore a criptografia de disco total e obtenha acesso não autorizado a informações protegidas sem a chave de recuperação. O ataque abusa do Ambiente de Recuperação do Windows (WinRE) utilizando um diretório `System Volume InformationFsTx` malicioso em uma unidade USB ou partição EFI. Ao reproduzir logs de transação NTFS, o invasor pode excluir o arquivo `winpeshl.ini`, o que força o WinRE a abrir um prompt de comando (`cmd.exe`) enquanto o volume permanece transparentemente descriptografado pelo TPM. Uma vez obtido o acesso ao shell administrativo, a função `manage-bde` pode ser usada para extrair a Chave de Recuperação do BitLocker. Isso atinge especificamente implementações padrão apenas com TPM; sistemas que utilizam TPM mais PIN não são exploráveis por este método. **Recommendations** Para Windows 11, Windows Server 2022 e Windows Server 2025, implemente as seguintes medidas: - Transite de configurações do BitLocker apenas com TPM para TPM mais PIN ou uma Chave de Inicialização via Política de Grupo. - Remova o `autofstx.exe` da configuração `BootExecute` do WinRE. - Restrinja e reforce o Ambiente de Recuperação do Windows (WinRE). - Reforce as proteções de BIOS e UEFI e aplique controles rigorosos de acesso físico. - Monitore os logs do Sistema para eventos recentes de boot do WinRE e execuções inesperadas da função `manage-bde`.