Microsoft spiega come difendersi da YellowKey mentre scrive la patch per lo zero-day su BitLocker

Microsoft ha fornito indicazioni su come proteggersi dalla vulnerabilità zero-day in BitLocker chiamata YellowKey, mentre sta realizzando la patch. Il bug di sicurezza consente l'accesso a dati crittografati su dispositivi Windows con un accesso locale alla macchina.

Gli sviluppatori Microsoft hanno introdotto delle misure di mitigazione temporanee per YellowKey, una vulnerabilità zero-day di bypass di BitLocker che consente l’accesso a dati crittografati su dispositivi Windows con accesso fisico al sistema. Alla vulnerabilità è stato assegnato l’identificativo CVE-2026-45585 e un punteggio CVSS di 6.8.

Ricordiamo che la vulnerabilità è stata scoperta la scorsa settimana quando un ricercatore di sicurezza informatica, con lo pseudonimo di Chaotic Eclipse (noto anche come Nightmare Eclipse), ha pubblicato una dimostrazione pratica dell’exploit e una descrizione dettagliata dell’attacco.

Secondo lo specialista, per sfruttare la vulnerabilità è sufficiente scrivere file FsTx appositamente creati su un’unità USB o una partizione EFI, quindi riavviare il sistema in Windows Recovery Environment (WinRE). Invece della modalità di ripristino standard, l’attaccante ottiene l’accesso alla shell dei comandi e al contenuto dell’unità decrittografata da BitLocker.

Ora Microsoft ha confermato il problema e ha avvertito che un attacco riuscito potrebbe aggirare il meccanismo di crittografia dei dispositivi BitLocker e ottenere l’accesso ai dati protetti.

Mentre gli sviluppatori stanno lavorando a una patch completa, Microsoft consiglia di disabilitare l’avvio automatico dell’utilità di ripristino automatico FsTx (autofstx.exe) nell’ambiente WinRE. Per fare ciò, gli amministratori devono modificare le impostazioni dell’immagine WinRE e rimuovere la voce autofstx.exe dal valore BootExecute nella sezione Gestione sessione.

Microsoft raccomanda inoltre di disabilitare la configurazione di BitLocker che protegge solo con TPM e di abilitare la protezione aggiuntiva TPM+PIN, che richiede un PIN per decrittografare l’unità all’avvio. Tuttavia, Nightmare Eclipse stesso afferma che YellowKey può aggirare la protezione anche su sistemi con TPM+PIN abilitato.

Come spiega Will Dormann, analista di Tharros Labs, il meccanismo Transactional NTFS Replay consente all’exploit di eliminare il file winpeshl.ini, che determina il comportamento di WinRE. Di conseguenza, invece dell’ambiente di ripristino, il sistema apre un prompt dei comandi con la partizione BitLocker già sbloccata.

Dorman osserva che è particolarmente allarmante il fatto che la directory System Volume InformationFsTx su una partizione possa modificare il contenuto di un’altra partizione durante il processo di riproduzione. Sostiene che ciò potrebbe indicare un problema più fondamentale con il meccanismo NTFS transazionale.

Vale la pena notare che YellowKey non è l’unica vulnerabilità zero-day di Windows pubblicata di recente dal ricercatore. Nightmare Eclipse ha anche rivelato informazioni sulle vulnerabilità BlueHammer (CVE-2026-33825), GreenPlasma , RedSun e UnDefend, alcune delle quali sono già utilizzate in attacchi reali. Il ricercatore afferma di agire in questo modo per protestare contro il trattamento riservato ai professionisti della sicurezza da parte del Microsoft Security Response Center (MSRC).

Sostiene di essere stato minacciato da rappresentanti di Microsoft che gli avrebbero promesso di “rovinargli la vita”.

Carolina Vivianti

Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.

Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance