Notebookcheck Logo

Microsoft mitiga o desvio do YellowKey BitLocker, mas ainda não há correção

Figura encapuzada em uma configuração de várias telas executando um ataque cibernético.
ⓘ Magnific.com/author/dcstudio
Figura encapuzada em uma configuração de várias telas executando um ataque cibernético.
A Microsoft lançou etapas de mitigação para o YellowKey (CVE-2026-45585), um desvio do BitLocker que concede aos atacantes físicos acesso a unidades criptografadas do Windows.
Windows Software Security Microsoft Laptop / Notebook Desktop

A Microsoft lançou orientações de mitigação para o YellowKey, o desvio do BitLocker divulgado publicamente e agora rastreado como CVE-2026-45585, depois que uma prova de conceito funcional foi publicada sem divulgação coordenada. Nenhuma atualização de segurança completa está disponível ainda. A empresa confirmou que está trabalhando em uma correção permanente e está pedindo aos administradores das versões afetadas do Windows que apliquem as etapas provisórias imediatamente.

O que a atenuação faz

A exploração funciona excluindo o winpeshl.ini por meio do site Transactional NTFS (TxF)o que faz com que o ambiente de recuperação do WinRE gere um shell sem restrições em vez de carregar a interface de recuperação padrão. A partir daí, um invasor com acesso físico obtém visibilidade total e não criptografada do conteúdo da unidade, sem precisar de credenciais, instalação de software ou conexão de rede.

A mitigação da Microsoft aborda o problema desativando o autofstx.exe, o FsTx Auto Recovery Utility, na imagem do WinRE. Os administradores devem montar a imagem do WinRE em cada dispositivo afetado, carregar o hive do registro do sistema e remover a entrada autofstx.exe do valor BootExecute do Session Manager. A Microsoft também recomenda mover os dispositivos de alto risco do BitLocker TPM-only para o modo TPM+PIN, o que torna a exploração física muito mais difícil.

Essa é uma solução alternativa, não uma correção. A Microsoft não confirmou quando uma atualização completa será disponibilizada. Até que isso aconteça, qualquer máquina que esteja executando uma versão afetada do Windows com uma porta USB e a capacidade de reinicializar no modo de recuperação é um alvo viável para qualquer pessoa que tenha o código de exploração disponível publicamente.

Sistemas afetados e o que os administradores devem fazer agora

O CVE-2026-45585 tem uma pontuação CVSS de 6,8 e requer acesso físico, mas a Microsoft classifica a exploração como "Mais provável", pois a prova de conceito já é pública. O alerta da Microsoft se concentra no Windows 11 24H2, 25H2 e 26H1 em sistemas x64, juntamente com o Windows Server 2025 e o Windows Server 2025 Server Core. O Windows 10 não apresenta problemas devido a diferenças em sua configuração WinRE. Análises técnicas públicas também sinalizam o Windows Server 2022 como potencialmente vulnerável sob condições específicas de implantação por meio da mesma falha no caminho de recuperação do WinRE, embora a Microsoft ainda não tenha abordado isso formalmente em seu comunicado.

O pesquisador por trás do exploit, conhecido como Nightmare-Eclipse, divulgou-o publicamente antes que a Microsoft emitisse qualquer orientação. A Microsoft considerou o incidente uma violação das práticas coordenadas de divulgação de vulnerabilidades.

Google LogoAdd as a preferred source on Google
Mail Logo

Artigos Relacionados

> Análises e revisões de portáteis e celulares > Notícias > Arquivo de notícias 2026 05 > Microsoft mitiga o desvio do YellowKey BitLocker, mas ainda não há correção
Darryl Linington, 2026-05-21 (Update: 2026-05-21)