Уязвимость YellowKey позволяет обойти BitLocker через среду восстановления Windows

Уязвимость получила оценку CVSS 6.8, что соответствует средней степени серьёзности. Тем не менее для организаций, которые полагаются на BitLocker для защиты ноутбуков и серверов, риск остаётся заметным.

Важная особенность: эксплойт не является удалённым. Для его использования требуется физический доступ к устройству — возможность перезагрузить систему и взаимодействовать с её загрузочной или восстановительной средой.

Тем не менее такие сценарии довольно типичны: потерянные ноутбуки, временное изъятие устройств при поездках, доступ к незаблокированным рабочим станциям или физический доступ к системам в филиалах и киосках.

Как работает атака YellowKey

Публичные proof‑of‑concept демонстрируют использование особенностей Windows Recovery Environment (WinRE) — встроенной среды восстановления Windows, применяемой для диагностики и ремонта системы.

В упрощённом виде атака выглядит так:

• злоумышленник готовит USB‑накопитель или EFI‑раздел со специально сформированными файлами FsTx (Transactional NTFS);
• затем устройство перезагружается в Windows Recovery Environment;
• при обработке этих файлов WinRE запускает механизм восстановления файловой системы;
• в результате может открыться командная оболочка (shell) с доступом к системному разделу.

Из‑за особенностей обработки состояния файловой системы во время восстановления том, защищённый BitLocker, может оказаться доступным из этой оболочки. Это фактически означает обход защиты шифрования в момент работы среды восстановления.

Почему атаки с физическим доступом всё ещё опасны

Хотя атака требует физического доступа, такие ситуации происходят регулярно:

• кража или потеря ноутбуков
• временное изъятие устройств
• оставленные без присмотра рабочие станции
• компьютеры в филиалах, терминалах или киосках

Особенно уязвимы системы, где используется BitLocker в режиме TPM‑only. В такой конфигурации диск может автоматически разблокироваться при загрузке без ввода пароля пользователем.

Рекомендованные меры защиты от Microsoft

На момент публикации информации о YellowKey компания Microsoft признала уязвимость, но полный патч ещё не выпущен. Вместо этого администраторам предложены временные меры защиты.

1. Удалить запись autofstx.exe из BootExecute

Microsoft рекомендует удалить запись autofstx.exe из значения реестра BootExecute в образе WinRE. Это отключает механизм повторного проигрывания транзакций NTFS, который используется в эксплойте.

2. Использовать BitLocker с TPM + PIN

Вместо автоматической разблокировки диска через TPM рекомендуется включить TPM + PIN. Тогда при загрузке потребуется ввод PIN‑кода, что значительно усложняет атаку при физическом доступе к устройству.

3. Усилить контроль загрузки и среды восстановления

Дополнительные меры защиты включают:

• отключение или ограничение загрузки с USB и внешних носителей;
• защиту UEFI/BIOS сложными паролями администратора;
• обязательное использование Secure Boot;
• мониторинг изменений конфигурации загрузки и WinRE.

Такие меры снижают вероятность того, что злоумышленник сможет воспользоваться уязвимостью через цепочку загрузки или восстановления системы.

Кто обнаружил YellowKey

Уязвимость была раскрыта исследователем безопасности под псевдонимами Chaotic Eclipse и Nightmare‑Eclipse, который также опубликовал proof‑of‑concept код для демонстрации техники атаки.

Сообщается, что YellowKey входит в серию недавних публикаций исследователя, посвящённых уязвимостям в компонентах Microsoft Windows. Некоторые из них также связаны с повышением привилегий или обходом механизмов безопасности.

Эксперты отмечают, что после публикации PoC‑кода риск возрастает: потенциальным злоумышленникам становится проще повторить атаку до выхода официального обновления.

Что должны отслеживать команды безопасности

Пока исправление не выпущено, специалистам по безопасности рекомендуется обращать внимание на признаки возможной эксплуатации:

• неожиданные загрузки в Windows Recovery Environment;
• изменения образов WinRE или параметра BootExecute;
• модификации EFI‑разделов, порядка загрузки или Secure Boot;
• попытки загрузки с USB‑носителей;
• изменения конфигурации BitLocker или TPM‑защитников.

Такие события могут указывать на вмешательство в процесс загрузки или восстановления системы.

Что показывает случай YellowKey

История YellowKey напоминает важное правило кибербезопасности: полное шифрование диска само по себе не гарантирует защиту, если злоумышленник способен вмешаться в цепочку загрузки.

Среды восстановления, загрузчики и настройки прошивки фактически входят в ту же доверенную цепочку, что и сам механизм шифрования. Уязвимости в любой из этих точек могут ослабить защиту, которую обеспечивает BitLocker.

Поэтому организациям важно комбинировать шифрование с дополнительными мерами — предзагрузочной аутентификацией, защитой прошивки и строгим контролем загрузки — как минимум до тех пор, пока Microsoft не выпустит полноценное исправление для CVE‑2026‑45585.