Разработчики Microsoft опубликовали временные меры против YellowKey — 0-day-уязвимости в BitLocker. Баг получил идентификатор CVE-2026-45585 и оценку 6,8 балла по шкале CVSS.
Проблема затрагивает Windows-устройства, где злоумышленник уже получил доступ к системе. В таком сценарии он может добраться до зашифрованных данных, если сработает цепочка через среду восстановления WinRE.
Что именно сломалось
По описанию исследователей, атака строится вокруг специально подготовленных файлов FsTx. Их записывают на USB-накопитель или в EFI-раздел, а затем перезагружают систему в Windows Recovery Environment.
Дальше начинается самое неприятное: вместо обычного режима восстановления атакующий может получить командную строку и доступ к диску, который BitLocker уже раскрыл для системы. В разборе другой критичной дыры в Windows мы уже писали, что ошибки на стыке загрузки, восстановления и шифрования часто бьют не по интерфейсу, а по самим данным.
Какие есть варианты защиты
Microsoft пока не выпустила полноценный патч, поэтому компания советует временно отключить автозапуск FsTx Auto Recovery, то есть autofstx.exe, в WinRE. Для этого администратору придется править параметры образа восстановления и убирать запись autofstx.exe из BootExecute в разделе Session Manager.
Второй совет — не полагаться только на TPM-only и включить TPM+PIN. Так диску понадобится PIN-код на старте. Минус в том, что исследователь Nightmare Eclipse утверждает: YellowKey обходит и эту схему.
Третий слой — организационный. Если ноутбуки часто ездят между офисом, домом и командировками, владельцу стоит заранее продумать защиту устройства перед выходом из дома: не оставлять его без присмотра, хранить актуальные обновления и держать отдельный сценарий для поездок, например защиту трафика в поездках на случай работы из чужой сети.
У каждого варианта есть плюс и минус. Отключение autofstx.exe быстро снижает риск, но требует ручной работы и аккуратности. TPM+PIN добавляет барьер для атакующего, но не закрывает саму дыру. А дисциплина с устройством и данными помогает меньше зависеть от одной настройки.
Кому что подходит
Домашнему пользователю важнее всего не тянуть с обновлениями и проверить, включен ли BitLocker вообще корректно. Если ноутбук используется в поездках, PIN на старте и физический контроль устройства становятся не формальностью, а реальной защитой.
Для администраторов картина строже. Им нужно проверить WinRE-образы, убрать автозапуск FsTx Auto Recovery и оценить, где в парке машин используется TPM-only. Для организаций с чувствительными данными это не та история, которую можно отложить до следующего квартала.
Что делать сейчас
Пока Microsoft готовит патч, YellowKey выглядит как редкий пример дыры, где уязвимы не только данные, но и сама логика восстановления системы. Это не повод паниковать, но хороший повод проверить, как именно настроен шифрованный диск и что происходит при загрузке в WinRE.
Пошаговый разбор защиты ноутбука в поездках может пригодиться тем, кто часто работает вне офиса и не хочет полагаться только на одну настройку шифрования.
Практический чек-лист
- Проверить, включен ли BitLocker и какой режим защиты используется: TPM-only или TPM+PIN.
- Уточнить, применяются ли на ваших устройствах актуальные обновления Windows.
- Для корпоративных машин проверить WinRE-образ и наличие autofstx.exe в BootExecute.
- Ограничить физический доступ к ноутбуку, особенно в поездках и на выезде.
- Отдельно проверить, где хранятся чувствительные файлы и нужен ли им дополнительный уровень защиты.
- Если устройство используют для работы вне офиса, заранее продумать меры для чужих сетей и публичных точек доступа.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.