PT-2026-42025 · Microsoft · Windows
Morse
·
Publicado
2026-05-12
·
Atualizado
2026-06-16
·
CVE-2026-45585
CVSS v2.0
7.2
Alta
| Vetor | AV:L/AC:L/Au:N/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas
Windows 11
Windows Server 2022
Windows Server 2025
Description
Uma falha de bypass de recurso de segurança conhecida como YellowKey afeta o componente BitLocker no Windows. Este problema permite que um invasor com acesso físico a um dispositivo ignore a criptografia de disco total e obtenha acesso não autorizado a informações protegidas sem a chave de recuperação. O ataque abusa do Ambiente de Recuperação do Windows (WinRE) utilizando um diretório
System Volume InformationFsTx malicioso em uma unidade USB ou partição EFI. Ao reproduzir logs de transação NTFS, o invasor pode excluir o arquivo winpeshl.ini, o que força o WinRE a abrir um prompt de comando (cmd.exe) enquanto o volume permanece transparentemente descriptografado pelo TPM. Uma vez obtido o acesso ao shell administrativo, a função manage-bde pode ser usada para extrair a Chave de Recuperação do BitLocker. Isso atinge especificamente implementações padrão apenas com TPM; sistemas que utilizam TPM mais PIN não são exploráveis por este método.Recommendations
Para Windows 11, Windows Server 2022 e Windows Server 2025, implemente as seguintes medidas:
- Transite de configurações do BitLocker apenas com TPM para TPM mais PIN ou uma Chave de Inicialização via Política de Grupo.
- Remova o
autofstx.exeda configuraçãoBootExecutedo WinRE. - Restrinja e reforce o Ambiente de Recuperação do Windows (WinRE).
- Reforce as proteções de BIOS e UEFI e aplique controles rigorosos de acesso físico.
- Monitore os logs do Sistema para eventos recentes de boot do WinRE e execuções inesperadas da função
manage-bde.
Exploit
Correção
Protection Mechanism Failure
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Windows