Microsoftは、最近公開されたWindows BitLockerゼロデイ脆弱性YellowKeyの軽減策を共有しました。このゼロデイは保護されたドライブへのアクセスを許可するものです。
セキュリティ欠陥 先月、彼らはBlueHammer(CVE-2026-33825)とRedSun(識別子なし)のローカル権限昇格(LPE)ゼロデイ欠陥も公開しました。両者は現在攻撃で悪用されています。
研究者はまたGreenPlasmaという権限昇格のゼロデイセキュリティ問題をリークしました。攻撃者はこれを悪用してSYSTEMシェルを取得することができ、さらにUnDefendという別のゼロデイもリークしました。標準的なユーザー権限を持つ攻撃者がこれを悪用してMicrosoft Defenderの定義更新をブロックできます。
このようなエクスプロイトリークの流出を引き起こした正確な状況はまだ不明ですが、Nightmare Eclipseは以前、これらの開示はMicrosoftのセキュリティ対応センター(MSRC)が過去に報告した他のセキュリティ欠陥の開示プロセスをどのように処理したかについての抗議であると述べていました。
MicrosoftはYellowKeyの軽減策を共有
火曜日、MicrosoftはこのゼロデイをトラッキングしていることをCVE-2026-45585で発表し、野生で悪用されている可能性のある攻撃から防御するための軽減措置を共有しました。
「Microsoftは、Windows内のセキュリティ機能バイパス脆弱性「YellowKey」について認識しています。この脆弱性の概念実証は、調整済み脆弱性の最善慣行に違反して公開されています。」Microsoftは火曜日のアドバイザリで述べています。
「セキュリティアップデートが利用可能になるまで、この脆弱性から保護するために実装できる軽減ガイダンスを提供するために、このCVEを発行しています。」
YellowKey攻撃を軽減するために、MicrosoftはセッションマネージャーのBootExecute REG_MULTI_SZ値からautofstx.exeエントリを削除し、その後CVE-2026-33825アドバイザリの「軽減」セクションで詳述されている手順に従うことでWinREのBitLockerトラストを再確立することを推奨しました。
「具体的には、WinREイメージが起動するときにFsTx自動回復ユーティリティであるautofstx.exeが自動的に開始されるのを防止します。」Tharrosのプリンシパル脆弱性アナリストであるWill Dormannは説明しました。「この変更により、winpeshl.iniを削除するトランザクションNTFSリプレイはもう発生しません。」
Microsoftはまた、顧客がすでに暗号化されたデバイスでBitLockerをPowerShell、コマンドライン、またはコントロールパネルから「TPMのみ」モードから「TPM+PIN」モードに構成することを推奨しました。これにより、起動時にドライブを復号化するために起動前PINが必要になり、YellowKey攻撃をブロックすることができます。
まだ暗号化されていないデバイスでは、管理者はMicrosoft Intuneまたはグループポリシーを介して「起動時に追加の認証が必要」オプションを有効にできます。「TPM起動PINを構成する」が「TPMで起動PINが必要」に設定されていることを確認しながら。
検証ギャップ:自動化されたペンテストは1つの質問に答えます。あなたは6つ必要です。
自動化されたペンテストツールは実際の価値を提供しますが、それらは1つの質問に答えるために構築されました:攻撃者がネットワークを移動できるのか?彼らは、あなたのコントロールが脅威をブロックするかどうか、あなたの検出ルールが起動するかどうか、またはあなたのクラウド構成が保持するかどうかをテストするために構築されていませんでした。
このガイドは、実際に検証する必要がある6つのサーフェスをカバーしています。
