微软发布 Win11 临时措施应对 YellowKey 漏洞(CVE-2026-45585)
核心结论:2026 年 5 月 21 日,微软针对影响 Windows 11 的YellowKey BitLocker 绕过漏洞发布临时缓解方案,完整补丁暂未发布;该漏洞可被物理接触者利用 USB 设备绕过 BitLocker,直接访问加密数据。
一、漏洞概况
- 漏洞名称:YellowKey(CVE-2026-45585)
- 披露时间:2026 年 5 月 13 日(研究员 Chaotic Eclipse 公开 PoC)
- 影响范围:
- ✅ Windows 11(24H2/25H2/26H1,x64)
- ✅ Windows Server 2022/2025
- ❌ Windows 10(不受影响,WinRE 配置不同)
- 攻击条件:物理接触设备、可重启进入 WinRE、无需密码 / 密钥 / 网络
- 危害:绕过 TPM 保护的 BitLocker,直接获取系统盘明文读写权限
二、漏洞原理(简化)
- 攻击者将特制FsTx 文件放入 USB 或 EFI 分区。
- 重启进入 WinRE 并按 Ctrl 键,触发 NTFS 事务日志重放。
- WinRE 自动执行
autofstx.exe,删除winpeshl.ini,弹出无限制命令行。 - 直接访问已被 WinRE 自动解锁的 BitLocker 加密卷。
三、微软临时缓解措施(核心)
1. 禁用 WinRE 中的 autofstx.exe(必做)
- 挂载 WinRE 镜像(恢复分区或
winre.wim)。 - 加载镜像内的系统注册表配置单元。
- 定位路径:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager。 - 从
BootExecute多字符串值中删除 autofstx.exe。 - 保存镜像、卸载注册表、重建 WinRE。
- 恢复 BitLocker 对 WinRE 的信任关系。
2. 强化 BitLocker 配置(推荐)
- 将仅 TPM 模式改为TPM+PIN / 密钥,增加预启动认证。
- 设置BIOS/UEFI 密码,阻止未授权修改启动项。
- 禁用USB 启动,降低物理攻击面。
四、重要提醒
- 临时方案非永久修复:微软尚未发布完整补丁,需持续关注 Patch Tuesday 更新。
- 适用场景:企业设备、高敏感数据设备必须立即部署;普通用户建议升级 TPM+PIN 并设置 BIOS 密码。
- 攻击局限:仅物理接触可利用,远程攻击不可行。