微软近日就BitLocker加密暴露的一个严重绕过漏洞发布了临时缓解方案。该漏洞被标识为CVE-2026-45585,并被命名为YellowKey,影响Windows 11的24H2、25H2和26H1版本(64位架构),以及Windows Server 2025和Server Core。攻击者只需拥有设备物理接触权限,无需凭据、无需安装额外软件或联网,即可获取受BitLocker保护的磁盘中未加密内容的完整访问权限。微软警告称,由于概念验证代码已在互联网上公开,该漏洞的利用可能性被评估为“更可能”。
BitLocker是Windows系统内置的全盘加密功能,通常被认为能够保护数据在设备丢失或被盗后的安全。然而,YellowKey漏洞揭示了一条绕过BitLocker加密的完整路径。该漏洞的核心涉及Windows恢复环境(WinRE)和已弃用的NTFS事务功能(Transactional NTFS,TxF)。通过使用TxF,攻击者可以删除WinRE所用的winpeshl.ini配置文件。当WinRE无法加载该文件时,操作系统将启动一个不受限制的命令行外壳,而不是标准的图形恢复界面。如此一来,攻击者便能在没有TPM验证的环境中执行任意命令。
这个命令行环境继承系统级权限,使得攻击者可以重置本地用户密码、禁用BitLocker保护、直接读写磁盘分区,甚至提取系统敏感数据。整个过程不需要安装任何恶意软件,也不需要网络连接。攻击者只需一个U盘和将设备重启至恢复模式的能力。由于漏洞无需凭据,默认配置下的TPM+BitLocker组合完全无法抵御此类攻击。
漏洞利用原理:TxF与WinRE攻击链
从技术层面看,YellowKey利用了Windows文件系统中一个相对冷僻的功能——事务性NTFS(TxF)。TxF允许文件操作被包裹在一个NTFS事务中,如果事务成功则提交,否则回滚。攻击者利用TxF在WinRE环境中成功删除了winpeshl.ini文件,导致WinRE下次启动时因找不到初始化配置文件,自动跳转到恢复模式命令行,而非通常的“高级选项”界面。这个命令行不受任何限制,且具备系统级权限,直接为攻击者敞开了大门。微软在官方公告中指出,成功利用该漏洞需要攻击者拥有目标设备的物理访问权限,且设备必须支持重启进入WinRE。但在笔记本电脑、工作站等设备丢失或被盗的常见场景中,这些条件很容易满足。
微软应急措施与安全建议
针对YellowKey漏洞,微软没有提供一键补丁,而是推荐了一套手动缓解方案。该方案通过禁用WinRE镜像中的autofstx.exe(FsTx自动恢复工具)来阻止攻击者使用TxF。管理员需要为每台受影响的设备挂载WinRE镜像(winre.wim),加载系统注册表配置单元(Software hive),然后定位到Session Manager注册表路径,将BootExecute值中的autofstx.exe条目移除。完成修改后,保存镜像并重新配置系统引导。虽然这套操作能够有效阻断攻击链,但涉及每个设备的单独处理,对于大型企业来说部署和维护成本较高。
此外,微软强烈建议将BitLocker的保护模式从默认的“仅TPM”更改为“TPM+PIN”。这样,设备启动时会要求用户输入个人识别码,即使攻击者通过物理访问获得了恢复模式命令行,仍需要PIN码才能访问加密卷数据。双因子认证能够显著提高物理攻击的难度,是当前最有效的补充措施之一。
微软官方在公告中列出受影响系统包括:Windows 11 24H2、25H2、26H1(x64架构),以及Windows Server 2025和Server Core。Windows 10由于WinRE配置不同,未受影响。但安全研究人员提醒,Windows Server 2022在特定部署条件下也可能存在类似风险,微软尚未就此正式表态,但建议相关用户保持警惕并等待进一步更新。
YellowKey漏洞的曝光,再度引发了业界对全盘加密方案物理安全性的讨论。虽然临时缓解方案提供了一段缓冲期,但最终仍需微软完成完整补丁的开发与发布。在此之前,所有使用受影响系统的机构都应立即评估物理安全策略,优先启用TPM+PIN保护,并根据微软指导文件落实缓解措施。对于个人用户,确保设备始终处于物理安全环境中,同时开启设备固件密码和BitLocker PIN保护,是当前较为稳妥的做法。
本文参考来源:驱动之家新闻_最新新闻
