Il BitLocker non è più una garanzia. Un ricercatore ha appena dimostrato che basta una chiavetta USB

Il ricercatore di BlueHammer (CVE-2026-33825) e RedSun, ha pubblicato anche GreenPlasma: una privilege escalation via CTFMON che permette a un utente standard di ottenere una shell SYSTEM su Windows. Il PoC è incompleto e lascia intendere ulteriori sviluppi.

BitLocker è quel sistema che dovrebbe garantire (fino a “prova contraria”) che i dati nel computer dove è stato abilitato non siano letti se non dopo aver fatto il login o aver inserito la chiave di recupero generata in fase di attivazione.

Purtroppo qualche giorno fa uno Proof-of-concept ha dimostrato “la prova contraria”.

Su GitHub il ricercatore che si firma Nightmare-Eclipse (anche noto come Chaotic Eclipse) il 12 Maggio scorso ha caricato un repository chiamato YellowKey. Che dimostra in 5 semplici passaggi come aggirare il sistema BitLocker di Windows 11 o Windows Server 2022/2025.

Il repository in cinque giorni a totalizzato: 1.700 stelle, 398 fork, riproduzioni indipendenti confermate. Contemporaneamente nessun CVE divulgato, nessuna patch, nessuna risposta concreta da Microsoft.

Una chiavetta USB e il tasto CTRL

L’exploit abusa del Windows Recovery Environment (WinRE), sistema di recupero che parte automaticamente quando Windows non si avvia correttamente e che, su ogni installazione di Windows 11 e Server 2022/2025, vive in una partizione separata del disco.

Il meccanismo è semplicissimo:

1. si copia una cartella chiamata FsTx nel percorso \System Volume Information\FsTx di una chiavetta USB o nella partizione EFI del dispositivo target
2. si inserisce la chiavetta
3. si riavvia il computer tenendo SHIFT premuto per entrare in WinRE
4. poi si tiene premuto CTRL durante il caricamento
5. al posto del menu di recovery compare una shell

Il volume BitLocker è già montato, già decifrato, già accessibile.

Will Dormann di Tharros Labs, che ha verificato indipendentemente la riproducibilità, ha spiegato il meccanismo di fondo: WinRE elabora i log NTFS contenuti nella cartella FsTx. Quando replica quelle transazioni, elimina il file che normalmente blocca l’accesso alla shell di recovery. Il passo successivo è un prompt dei comandi con il disco sbloccato davanti. BitLocker non viene bucato. Viene aggirato!

Nightmare-Eclipse nel readme del repository GitHub si pone la domanda se il meccanismo scoperto è una backdoor intenzionale? Come a cercare una conferma alla sua domanda, si interroga sul fatto che il componente responsabile del bug non è presente da nessuna parte se non nel WinRE, che un componente identico è presente in una normale installazione di Windows ma senza le funzionalità che innescano il bypass. Infine dichiara che solo i sistemi operativi Windows 11 (e server 2022/2025) sono “affetti” mentre Windows 10 ne è immune.

Now why would I say this is a backdoor ? The component that is responsible for this bug is not present anywhere (even in the internet) except inside WinRE image and what makes it raise suspicions is the fact that the exact same component is also present with the exact same name in a normal windows installation but without the functionalities that trigger the bitlocker bypass issue. Why ? I just can’t come up with an explanation beside the fact that this was intentional. Also for whatever reason, only windows 11 (+Server 2022/2025) are affect, windows 10 is not.

Perimetro e mitigazioni

Il problema è reale, ma attenzione perché lo sfruttamento presuppone delle condizioni ben precise:

1. l’exploit pubblicato (non quello che non è stato volutamente publicato) funziona se il BitLocker è in modalità TPM-only (la configurazione predefinita sulla maggior parte dei PC Windows 11 consumer e aziendali). Nei test documentati pubblicamente su GitHub se il sistema target ha  il TPM attivato con verifica del PIN lo sblocco del volume criptato non avviene. Purtroppo però anche lo scenario TPM+PIN sembra essere stato aggirato ma il PoC pubblico non è stato reso pubblico dallo stesso Nightmare-Eclipse “I’m just not publishing the PoC, I think what’s out there is already bad enough”
2. serve accesso fisico al dispositivo target. Non funziona su un disco rimosso e collegato ad altro computer. Questo restringe il perimetro. Ma la casistica che rimane è esattamente quella che dovrebbe preoccupare chi gestisce dispositivi aziendali: laptop rubati in aeroporto, lasciati in hotel.

Quali possono essere le azioni di mitigazione

Allo stato attuale non esiste una patch quindi possiamo solo suggerire dei workaround indicati da Dormann e Beaumont:

1. La mitigazione più veloce ed efficace è abilitare TPM+PIN su tutti i dispositivi Windows 11 e Server 2022/2025
2. impostare una password BIOS/UEFI e bloccare il boot da USB.
3. verificare lo stato di WinRE con reagentc /info e valutare reagentc /disable sui dispositivi ad alto rischio, sapendo che si perde la funzione di recovery.

Chi è Nightmare-Eclipse e perché conta

YellowKey non è uscito in isolamento. È l’ultimo di una serie. Lo stesso ricercatore ha già pubblicato BlueHammer (CVE-2026-33825, patchato da Microsoft ad aprile 2026) e RedSun, entrambi local privilege escalation su Windows Defender, insieme a YellowKey è uscito anche GreenPlasma: escalation di privilegi via CTFMON, da utente standard a shell SYSTEM. Il PoC di GreenPlasma è intenzionalmente incompleto, il ricercatore ha tolto la parte finale con un messaggio che suona più come una sfida che come un gesto di responsabilità: “If you’re smart enough, you can turn this into a full privilege escalation.”

Nightmare-Eclipse ha già annunciato una “big surprise” per il Patch Tuesday di giugno 2026.

Considerazioni finali

La certezza su cui molte organizzazioni hanno costruito le loro policy sui laptop “se il dispositivo viene rubato, il disco è illeggibile” regge ancora per Windows 10. Per Windows 11 con BitLocker TPM-only, adesso ha un asterisco grande.

Gli update alle partizioni WinRE hanno storicamente una distribuzione lenta e spesso richiedono interventi manuali, lo abbiamo già visto in passato con KB5028997.

Chi gestisce fleet di laptop Windows 11 deve rivalutare la configurazione BitLocker oggi, non aspettando che arrivi un advisory formale.

Fonti:

• Repository GitHub: Nightmare-Eclipse/YellowKey (12 maggio 2026)
• BleepingComputer — Windows BitLocker zero-day gives access to protected drives, PoC released
• The Hacker News — Windows Zero-Days Expose BitLocker Bypasses And CTFMON Privilege Escalation
• XDA Developers — A new Windows 11 BitLocker bypass only needs a USB stick
• Blackfort Technology — YellowKey: Technical Analysis (aggiornato 15 maggio 2026)
• Hive Security — YellowKey: The BitLocker Bypass Hidden in Windows Recovery

Luca Stivali

Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.

Aree di competenza: Cyber Threat Intelligence, Architectural Design, Divulgazione