YellowKey (CVE‑2026‑45585): cómo funciona el bypass de BitLocker a través de Windows Recovery Environment
YellowKey (CVE‑2026‑45585) es una vulnerabilidad de bypass de seguridad en BitLocker que afecta a Windows 11 y Windows Server 2022/2025 y requiere acceso físico al dispositivo. El exploit utiliza archivos FsTx manipulados en un USB o partición EFI que el entorno Windows Recovery Environment (WinRE) procesa durante e...
What is the “YellowKey” BitLocker zero‑day vulnerability (CVE‑2026‑45585) that allows attackers with physical access to bypass BitLocker encYellowKey demonstrates how weaknesses in recovery and boot workflows can undermine full‑disk encryption protections.
Prompt de IA
Create a landscape editorial hero image for this Studio Global article: What is the “YellowKey” BitLocker zero‑day vulnerability (CVE‑2026‑45585) that allows attackers with physical access to bypass BitLocker enc. Article summary: YellowKey is a publicly disclosed BitLocker security-feature bypass, tracked as CVE-2026-45585, that reportedly lets an attacker use Windows Recovery Environment and crafted FsTx/Transactional NTFS files to reach data on. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "*A stolen Windows 11 laptop and a USB stick are enough to read a BitLocker-encrypted drive using nothing but Microsoft’s own recovery tools, and the researcher is holding back a fo" source context "YellowKey: The Unpatched BitLocker Bypass Hidden in Windows ..." Reference image 2: visual subject "A ze
openai.com
BitLocker está diseñado para proteger los datos incluso si un dispositivo es robado. Sin embargo, una vulnerabilidad recién revelada —YellowKey (CVE‑2026‑45585)— demuestra que las debilidades en los procesos de recuperación del sistema pueden socavar el cifrado completo del disco cuando un atacante tiene acceso físico al equipo.
Investigadores de seguridad han mostrado que este fallo puede permitir eludir las protecciones de BitLocker abusando del Windows Recovery Environment (WinRE) mediante archivos de transacciones del sistema de archivos especialmente manipulados. Microsoft reconoció el problema y publicó recomendaciones de mitigación mientras trabaja en una corrección definitiva.
Qué es YellowKey (CVE‑2026‑45585)
YellowKey está clasificado como una vulnerabilidad de bypass de una función de seguridad de BitLocker. Afecta a sistemas modernos de Windows, incluidos Windows 11 y Windows Server 2022 y 2025.
El fallo tiene una , lo que indica gravedad moderada pero con un impacto potencial importante para organizaciones que confían en BitLocker para proteger información sensible en portátiles o servidores.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
¿Cuál es la respuesta corta a "YellowKey (CVE‑2026‑45585): cómo funciona el bypass de BitLocker a través de Windows Recovery Environment"?
YellowKey (CVE‑2026‑45585) es una vulnerabilidad de bypass de seguridad en BitLocker que afecta a Windows 11 y Windows Server 2022/2025 y requiere acceso físico al dispositivo.
¿Cuáles son los puntos clave a validar primero?
YellowKey (CVE‑2026‑45585) es una vulnerabilidad de bypass de seguridad en BitLocker que afecta a Windows 11 y Windows Server 2022/2025 y requiere acceso físico al dispositivo. El exploit utiliza archivos FsTx manipulados en un USB o partición EFI que el entorno Windows Recovery Environment (WinRE) procesa durante el arranque, lo que puede abrir una shell con acceso al volumen cifrado.
¿Qué debo hacer a continuación en la práctica?
Microsoft recomienda mitigaciones temporales como eliminar la entrada autofstx.exe en BootExecute dentro de WinRE y usar BitLocker con TPM+PIN hasta que exista un parche definitivo.
A diferencia de muchos exploits remotos, YellowKey requiere acceso físico al dispositivo. El atacante necesita reiniciar el sistema y poder interactuar con el entorno de arranque o recuperación.
Aun así, el riesgo es relevante porque muchas estrategias de seguridad asumen que el cifrado de BitLocker protege los datos cuando un dispositivo es robado o confiscado temporalmente.
Cómo funciona el exploit de YellowKey
Las pruebas de concepto públicas muestran que el ataque aprovecha comportamientos dentro del Windows Recovery Environment (WinRE), el entorno integrado que Windows utiliza para diagnosticar y reparar problemas de arranque.
De forma simplificada, el proceso del ataque es el siguiente:
El atacante prepara una memoria USB o una partición EFI con archivos FsTx (Transactional NTFS) especialmente manipulados.
El equipo objetivo se reinicia en Windows Recovery Environment (WinRE).
Durante el proceso de recuperación, WinRE procesa esos archivos FsTx maliciosos. Esto puede desencadenar la apertura de una shell con acceso al volumen de almacenamiento del sistema.
Debido a cómo WinRE gestiona el estado del sistema de archivos durante la recuperación, el volumen protegido por BitLocker puede quedar accesible desde esa shell.
En la práctica, esto supone que la protección de BitLocker puede quedar anulada durante el proceso de recuperación, permitiendo acceder a datos que normalmente deberían permanecer cifrados.
Por qué los ataques con acceso físico siguen siendo relevantes
Aunque la vulnerabilidad requiere acceso físico, ese escenario es frecuente en incidentes reales. Algunos ejemplos comunes incluyen:
portátiles robados o extraviados
dispositivos inspeccionados o retenidos temporalmente (por ejemplo durante viajes)
estaciones de trabajo desatendidas
equipos en sucursales, kioscos o ubicaciones con poca supervisión
Las organizaciones que utilizan BitLocker con desbloqueo automático basado solo en TPM pueden ser especialmente vulnerables, porque el disco puede desbloquearse automáticamente durante el arranque sin requerir interacción del usuario.
Mitigaciones recomendadas por Microsoft
Cuando el problema se hizo público, Microsoft confirmó la vulnerabilidad pero aún no había publicado un parche completo. En su lugar, la empresa difundió medidas de mitigación para administradores.
1. Eliminar la entrada autofstx.exe en BootExecute
Microsoft recomienda eliminar la entrada autofstx.exe del valor de registro BootExecute en la imagen de WinRE. Esto impide el mecanismo de reproducción de Transactional NTFS que utiliza el exploit.
2. Activar BitLocker con TPM + PIN
Otra recomendación es configurar BitLocker con autenticación TPM + PIN, en lugar de solo TPM. Esto obliga a introducir un PIN durante el arranque y reduce significativamente el riesgo de que un atacante con acceso físico pueda desbloquear el disco.
3. Reforzar la seguridad del arranque
También se sugieren medidas de defensa adicionales, como:
desactivar o restringir el arranque desde USB o medios externos
proteger la configuración UEFI/BIOS con contraseñas de administrador fuertes
mantener Secure Boot activado
supervisar cambios en WinRE o en la configuración de arranque
Estas medidas dificultan que un atacante acceda al entorno de recuperación necesario para ejecutar el exploit.
El investigador detrás de YellowKey
La vulnerabilidad fue divulgada públicamente por un investigador de seguridad que utiliza los alias Chaotic Eclipse y Nightmare‑Eclipse, quien publicó código de prueba de concepto explicando la técnica.
El descubrimiento forma parte de una serie más amplia de reportes de vulnerabilidades en Windows atribuidos al mismo investigador, incluidos otros zero‑day dirigidos a componentes de Microsoft.
Los expertos en seguridad señalan que cuando el código de prueba de concepto se publica, el umbral para que otros actores reproduzcan el ataque se reduce considerablemente, especialmente antes de que el fabricante publique parches.
Qué deberían vigilar las organizaciones
Hasta que exista una corrección completa, los equipos de seguridad deberían prestar atención a señales que indiquen posibles intentos de explotación, por ejemplo:
arranques inesperados en Windows Recovery Environment
cambios en las imágenes de WinRE o en la configuración BootExecute
modificaciones en orden de arranque, particiones EFI o Secure Boot
intentos de arranque desde USB no autorizados
cambios inesperados en configuración de BitLocker o protectores TPM
Detectar este tipo de eventos puede ayudar a identificar manipulaciones en la cadena de arranque o recuperación asociadas con este vector de ataque.
La lección para el cifrado de disco
YellowKey subraya un principio importante en ciberseguridad: el cifrado completo del disco por sí solo no garantiza la protección si un atacante puede manipular la cadena de arranque o recuperación del sistema.
Elementos como el cargador de arranque, el firmware o los entornos de recuperación forman parte del mismo límite de confianza que el mecanismo de cifrado. Si cualquiera de esos componentes presenta debilidades, la protección del cifrado puede verse comprometida.
Para organizaciones que dependen de BitLocker, combinar el cifrado con autenticación previa al arranque, protección del firmware y controles estrictos de arranque sigue siendo esencial mientras Microsoft prepara una solución definitiva para CVE‑2026‑45585.
bleepingcomputer.comMicrosoft shares mitigation for YellowKey Windows zero-day
Comments
0 comments