關於 BitLocker 的安全漏洞 CVE-2026-45585,業界將其稱為 YellowKey。這個漏洞的核心在於攻擊者可以繞過 Windows 的磁碟加密保護,直接存取加密分區中的敏感資料。對於負責系統維運或資安的工程師來說,理解這個漏洞的運作邏輯比單純更新補丁更重要,因為它揭示了實體接觸權限與恢復環境之間的信任漏洞。
漏洞背景與運作原理
BitLocker 是 Windows 內建的全磁碟加密功能,旨在防止設備遺失或被盜時,未經授權者透過外部啟動媒介讀取硬碟資料。通常情況下,BitLocker 依賴 TPM(可信平台模組,一種硬體加密晶片)來驗證系統完整性並釋放解密金鑰。
YellowKey 漏洞的攻擊路徑發生在 WinRE(Windows Recovery Environment,Windows 恢復環境)。WinRE 是系統出錯時用來修復電腦的特殊模式。攻擊者利用了 WinRE 中一個名為 autofstx.exe 的自動恢復工具。
具體攻擊流程是,攻擊者在 USB 隨身碟或 EFI 分區中放置特製的 FsTx 檔案。當電腦重啟並進入 WinRE 模式時,autofstx.exe 會嘗試處理這些檔案。如果攻擊者在特定時機按下 CTRL 鍵,就能觸發一個具有最高權限的 Shell(命令列介面)。由於此時系統處於恢復模式且已通過初步驗證,攻擊者可以直接存取原本受 BitLocker 保護的加密磁碟卷軸,完全繞過了原本設計的加密防線。
受影響範圍
此漏洞主要影響 x64 架構的系統,包括 Windows 11 的 24H2、25H2 與 26H1 版本,以及 Windows Server 2025(含 Server Core 安裝版本)。
實務緩解方案
目前微軟提供的緩解措施分為技術層面的暫時修復與架構層面的強化防禦。
第一種是針對 WinRE 映像檔的修改。工程師需要掛載設備上的 WinRE 映像檔,進入系統登錄檔(Registry)的 Session Manager 設定中,將 BootExecute 項目裡的 autofstx.exe 移除。這樣做可以防止 WinRE 啟動時自動執行該恢復工具,從而切斷攻擊者觸發 Shell 的路徑。
第二種且更為推薦的方案是強化身分驗證。許多企業預設使用 TPM-only 模式,這意味著只要硬體驗證通過,系統就會自動解密。YellowKey 正是利用了這個自動化過程。微軟建議將保護模式切換為 TPM+PIN。
TPM+PIN 模式要求使用者在開機時必須輸入一組預設的 PIN 碼才能解密磁碟。即使攻擊者擁有實體接觸權限並嘗試進入 WinRE,由於缺乏 PIN 碼,解密金鑰不會被釋放,從而讓 YellowKey 的繞過手段失效。
工程實務建議
對於管理大量設備的系統管理員,建議透過 Microsoft Intune 或群組原則(Group Policy)強制執行啟動時的額外驗證。具體設定應將 配置 TPM 啟動 PIN(Configure TPM startup PIN)設為 要求搭配 TPM 使用啟動 PIN(Require startup PIN with TPM)。
總結來說,YellowKey 提醒我們,單純依賴硬體晶片(TPM)的自動驗證在面對具有實體接觸權限的攻擊者時是不夠的。增加一個人為的驗證環節(PIN 碼)是目前最有效且最簡單的防禦手段。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。