Поссорившийся с Microsoft исследователь безопасности Chaotic Eclipse несколько дней назад опубликовал эксплойт под названием Yellowkey, который позволяет обойти шифрование Bitlocker системных дисков Windows. Теперь Microsoft выпустила скрипт(открывается в новом окне), который администраторы могут запустить для защиты уязвимых систем от Yellowkey. Исправление через Windows Update пока не приходит.
Уязвимость Yellowkey теперь зарегистрирована как CVE-2026-45585(открывается в новом окне). Microsoft присваивает ей значение CVSS 6,8, что соответствует среднему уровню серьезности. Столь мягкая оценка связана, в частности, с тем, что злоумышленникам необходим физический доступ к целевому устройству. Однако сложность атаки невысока.
Поскольку эксплойт Yellowkey уже несколько дней находится в открытом доступе, можно предположить, что рано или поздно злоумышленники начнут его использовать – или, возможно, уже используют. Microsoft также считает появление соответствующих атак "весьма вероятным", хотя, по имеющимся данным, конкретных признаков активного использования уязвимости у компании пока нет.
Скрипт как решение
В системах с особо критичными данными следует срочно принять меры защиты. В этом поможет упомянутый выше скрипт, который можно найти в сообщении Microsoft об уязвимости(открывается в новом окне). При выполнении он подключает образ WinRE соответствующей системы и удаляет файл autofstx.exe из значения реестра с именем "BootExecute".
По словам Microsoft, это предотвращает выполнение исполняемого файла в среде восстановления Windows с повышенными привилегиями. Это должно снизить риск успешной атаки.
Исправление будет распространено позже, предположительно в июньский патч-вторник, также через Windows Update. Однако сейчас пользователям приходится самостоятельно заботиться о защите своих систем. Microsoft перечисляет следующие уязвимые операционные системы: Windows 11 (24H2, 25H2 и 26H1) и Windows Server 2025.
PIN-код также защищает – пока что
В качестве альтернативы администраторы могут дополнительно защитить Bitlocker с помощью PIN-кода, который необходимо вводить при каждой загрузке системы. По крайней мере, в своей текущей форме эксплойт Yellowkey может быть использован только в системах, работающих в режиме TPM-only. Microsoft также заверяет, что конфигурация TPM+PIN не уязвима для Yellowkey.
Однако останется ли это так, неизвестно. Chaotic Eclipse утверждает в своем блоге(открывается в новом окне), что у него есть другой эксплойт, от которого не защитит даже запрос PIN-кода. Он просто еще не опубликовал его. "Я считаю, что того, что уже есть в открытом доступе, вполне достаточно", — такова его аргументация.