Microsoft lanzó el martes una mitigación para una vulnerabilidad de omisión de BitLocker llamada YellowKey, luego de un lanzamiento público la semana pasada.
Esta falla de día cero actualmente se rastrea como CVE-2026-45585 y tiene una puntuación CVSS de 6,8. Esto se describe como eludir la función de seguridad de BitLocker.
«Microsoft es públicamente consciente de una vulnerabilidad de elusión de una característica de seguridad de Windows conocida como ‘YellowKey'», dijo el gigante tecnológico en un aviso. «Se ha publicado una prueba de concepto para esta vulnerabilidad y viola las mejores prácticas para vulnerabilidades coordinadas».
Este problema afecta a Windows 11 versión 26H1 para sistemas basados en x64, Windows 11 versión 24H2 para sistemas basados en x64, Windows 11 versión 25H2 para sistemas basados en x64, Windows Server 2025 y Windows Server 2025 (instalaciones Server Core).
YellowKey fue publicado por un investigador de seguridad llamado Chaotic Eclipse (también conocido como Nightmare-Eclipse). Básicamente, puede colocar un archivo «FsTx» especialmente creado en una unidad USB o partición EFI, conectar la unidad USB a la computadora Windows de destino con la protección BitLocker activada, reiniciar en el Entorno de recuperación de Windows (WinRE) y mantener presionada la tecla CTRL para activar un shell con acceso sin restricciones.
«Si haces todo correctamente, generarás un shell con acceso ilimitado a volúmenes protegidos por BitLocker», dijeron los investigadores en una publicación de GitHub.
Redmond señaló que un exploit exitoso podría permitir a un atacante con acceso físico eludir la función de cifrado del dispositivo BitLocker en un dispositivo de almacenamiento del sistema y acceder a datos cifrados.
Se describen las siguientes mitigaciones para abordar este riesgo:
Monte la imagen de WinRE en cada dispositivo. Monte la sección del registro del sistema de la imagen de WinRE montada. Modifique BootExecute eliminando el valor «autofstx.exe» del valor BootExecute REG_MULTI_SZ en el administrador de sesión. Guarde y descargue la sección del registro. Desmonte y confirme la imagen WinRE actualizada. Restablezca la confianza de BitLocker para WinRE.
«Específicamente, evita que la utilidad de recuperación automática de FsTx, autofstx.exe, se inicie automáticamente cuando se inicia una imagen de WinRE», dijo el investigador de seguridad Will Dormann. «Este cambio evitará volver a ejecutar la transacción NTFS que elimina winpeshl.ini. También se recomienda cambiar de TPM solo a TPM+PIN».
Microsoft también destacó que los usuarios pueden protegerse contra exploits configurando BitLocker en dispositivos ya cifrados con protección «solo TPM» cambiando al modo «TPM+PIN» a través de PowerShell, la línea de comandos o el Panel de control. Esto requiere un PIN para descifrar la unidad en el momento del arranque, lo que ayuda eficazmente a los ataques de YellowKey.
Para dispositivos no cifrados, recomendamos que los administradores habiliten la opción (Se requiere autenticación adicional al inicio) en Microsoft Intune o Política de grupo y se aseguren de que (Configurar PIN de inicio de TPM) esté configurado en (TPM requiere PIN de inicio).
Source link
