Notebookcheck Logo

Microsoft attenua il bypass di YellowKey BitLocker, ma non c'è ancora una patch

Figura incappucciata davanti a una configurazione multischermo che esegue un cyberattacco.
ⓘ Magnific.com/author/dcstudio
Figura incappucciata davanti a una configurazione multischermo che esegue un cyberattacco.
Microsoft ha rilasciato le misure di mitigazione per YellowKey (CVE-2026-45585), un bypass di BitLocker che consente agli aggressori fisici di accedere alle unità Windows crittografate.
Windows Software Security Microsoft Laptop / Notebook Desktop

Microsoft ha rilasciato una guida alla mitigazione per YellowKey, il bypass di BitLocker divulgato pubblicamente e ora tracciato come CVE-2026-45585, dopo che è stato pubblicato un proof of concept funzionante senza una divulgazione coordinata. Non è ancora disponibile un aggiornamento di sicurezza completo. L'azienda ha confermato che sta lavorando a una soluzione permanente e invita gli amministratori delle versioni di Windows interessate ad applicare immediatamente le misure provvisorie.

Cosa fa la mitigazione

L'exploit funziona eliminando winpeshl.ini tramite Transactional NTFS (TxF)che fa sì che l'ambiente di ripristino WinRE generi una shell senza restrizioni invece di caricare l'interfaccia di ripristino standard. Da qui, un aggressore con accesso fisico ottiene una visibilità completa e non criptata del contenuto dell'unità, senza bisogno di credenziali, installazione di software o connessione di rete.

La mitigazione di Microsoft affronta il problema disabilitando autofstx.exe, l'utilità di ripristino automatico FsTx, all'interno dell'immagine WinRE. Gli amministratori devono montare l'immagine WinRE su ogni dispositivo interessato, caricare l'hive del registro di sistema e rimuovere la voce autofstx.exe dal valore BootExecute di Session Manager. Microsoft raccomanda anche di spostare i dispositivi ad alto rischio da TPM-only BitLocker alla modalità TPM+PIN, che rende molto più difficile lo sfruttamento fisico.

Si tratta di un workaround, non di una patch. Microsoft non ha confermato quando arriverà un aggiornamento completo. Fino a quando non arriverà, qualsiasi macchina che esegue una versione di Windows interessata con una porta USB e la possibilità di riavviare in modalità di recupero è un obiettivo possibile per chiunque abbia il codice di exploit disponibile pubblicamente.

Sistemi interessati e cosa devono fare gli amministratori ora

CVE-2026-45585 ha un punteggio CVSS di 6.8 e richiede un accesso fisico, ma Microsoft valuta lo sfruttamento come "Più probabile", dato che la prova di concetto è già pubblica. L'avviso di Microsoft si concentra su Windows 11 24H2, 25H2 e 26H1 su sistemi x64, insieme a Windows Server 2025 e Windows Server 2025 Server Core. Windows 10 non presenta problemi a causa delle differenze nella sua configurazione WinRE. Le analisi tecniche pubbliche segnalano anche Windows Server 2022 come potenzialmente vulnerabile in determinate condizioni di implementazione attraverso la stessa falla del percorso di ripristino di WinRE, sebbene Microsoft non l'abbia ancora affrontata formalmente nel suo avviso.

Il ricercatore dietro l'exploit, noto come Nightmare-Eclipse, lo ha rilasciato pubblicamente prima che Microsoft emettesse una guida. Microsoft ha definito l'incidente una violazione delle pratiche coordinate di divulgazione delle vulnerabilità.

Google LogoAdd as a preferred source on Google
Mail Logo

Articoli collegati

> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2026 05 > Microsoft attenua il bypass di YellowKey BitLocker, ma non c'è ancora una patch
Darryl Linington, 2026-05-21 (Update: 2026-05-21)