BitLocker加密面临严峻挑战：YellowKey漏洞深度解析

近期，安全领域公开了一个重大漏洞“YellowKey”（CVE-2026-45585）。该漏洞直接威胁微软BitLocker加密的安全性，允许攻击者在物理接触设备后，轻松绕过加密获取磁盘明文数据。

漏洞利用路径异常“清爽”

与传统物理攻击相比，YellowKey的利用门槛极低：

• 仅需一个特制U盘。
• 仅需一次重启设备进入恢复模式（WinRE）的机会。
• 无需输入密码或恢复密钥。
• 无需安装恶意软件。
• 全程可断网操作。

目前，其利用代码已在网上公开。微软评估其利用可能性为“更可能”，这意味着实际风险正在急剧升高。

漏洞原理：一个文件引发的“血案”

漏洞的核心在于事务性NTFS（TxF）与WinRE启动流程的配合失误。

攻击始于设备进入Windows恢复环境。正常情况下，WinRE会加载标准恢复界面。

但攻击者可通过TxF机制，在启动过程中删除一个关键文件——winpeshl.ini。该文件本用于指导WinRE启动程序。

此文件一旦缺失，系统便会“降级”至一个完全不受限制的命令行外壳。

这就好比：大楼的安保系统（BitLocker）坚不可摧，但攻击者却让后勤通道（WinRE）误以为他是维修工，从而拿到了一把能打开所有房间的万能钥匙（命令行）。

微软的“临时处方”：手动禁用关键组件

微软已迅速给出临时缓解方案。请注意，这仅是“缓解”措施，并非根治漏洞的完整安全补丁。

方案的核心思路是“断流”：直接禁用WinRE镜像中的autofstx.exe（FsTx自动恢复工具）。该工具是背后支持TxF事务的关键，将其禁用即可阻断攻击路径。

操作需要管理员手动对每台受影响设备进行干预，步骤包括：

• 挂载设备的WinRE镜像。
• 加载系统注册表配置单元。
• 找到并修改Session Manager下的BootExecute值，移除autofstx.exe条目。

这对拥有大量终端的企业IT管理员而言，是一项繁琐但必要的工作。

治标与治本：加固你的加密策略

除手动操作外，微软给出了更具普遍性的加固建议：将高风险设备的BitLocker解锁方式，从“仅TPM”模式切换至“TPM+PIN”模式。

这相当于给加密大门上了第二道锁。

YellowKey这类物理漏洞利用，通常在操作系统启动前或恢复环境中生效，此时TPM芯片可能已释放密钥。

如果额外设置了PIN码，攻击者即便触发漏洞，在没有PIN的情况下也无法完成解密。这能大幅提高物理攻击的门槛，是从策略层面进行防御的有效手段。

影响范围与未解之谜

根据微软公告，受影响系统主要包括：

• Windows 11 24H2, 25H2, 26H1 (x64架构)
• Windows Server 2025
• Windows Server Core

由于WinRE配置不同，Windows 10用户暂时被认为是安全的。

安全社区有讨论指出，在特定部署配置下，Windows Server 2024可能也存在类似风险。此点微软尚未正式确认，但相关用户应保持警惕。

总而言之，YellowKey漏洞给依赖BitLocker加密的用户敲响了警钟。在等待最终补丁期间，执行缓解方案并加固物理安全策略，是当前必不可少的应对步骤。

《夸克》非常好用的免费AI浏览器

下载APP查看