微软缓解 YellowKey BitLocker 绕过问题，但尚未推出补丁程序

微软发布了针对 YellowKey 的缓解指南，YellowKey 是一个公开披露的 BitLocker 旁路，现在被追踪为 CVE-2026-45585，此前发布了一个工作的概念验证，但未进行协调披露。目前还没有完整的安全更新。该公司确认正在开发永久修复程序，并敦促受影响 Windows 版本的管理员立即应用临时步骤。

缓解措施的作用

该漏洞通过Transactional NTFS (TxF) 删除 winpeshl.ini 运行。这将导致 WinRE 恢复环境生成一个不受限制的 shell，而不是加载标准恢复界面。从这里，拥有物理访问权限的攻击者可以获得对硬盘内容的完全、未加密的可见性，不需要任何凭证、软件安装或网络连接。

微软的缓解措施通过禁用 WinRE 映像中的 autofstx.exe（FsTx 自动恢复实用程序）来解决这一问题。管理员必须在每个受影响的设备上加载 WinRE 映像，加载系统注册表 hive，并从会话管理器的 BootExecute 值中删除 autofstx.exe 条目。Microsoft 还建议将高风险设备从仅 TPM 的 BitLocker转移到 TPM+PIN 模式，这将大大增加物理利用的难度。

这是一种变通方法，而不是补丁。微软尚未确认何时会推出全面更新。在此之前，任何运行受影响 Windows 版本、带有 USB 端口并能重新启动到恢复模式的机器，都是任何持有公开可用漏洞利用代码的人的可行目标。

受影响的系统和管理员现在应该做什么

CVE-2026-45585 的 CVSS 得分为 6.8，需要物理访问权限，但鉴于概念验证已经公开，微软将利用评级为 "更有可能"。微软的建议主要针对 x64 系统上的 Windows 11 24H2、25H2 和 26H1，以及 Windows Server 2025 和 Windows Server 2025 Server Core。由于 WinRE 配置的不同，Windows 10 不会出现问题。公开的技术分析报告还指出，在特定部署条件下，Windows Server 2022 也可能因相同的 WinRE 恢复路径缺陷而受到攻击，不过微软尚未在其公告中正式解决这一问题。

该漏洞背后的研究人员被称为 Nightmare-Eclipse，他在微软发布任何指导之前就公开发布了该漏洞。微软称这一事件违反了漏洞披露的协调惯例。