Microsoftは、Windows に組み込まれたフルディスク暗号化機能である BitLocker が提供する保護をバイパスし、ユーザーのデータにアクセスするために攻撃者が利用できる脆弱性である CVE-2026-45585(別名「Yellowkey」)の修正に取り組んでいます。
その間、同社は影響を受けた Windows デバイスを悪用から保護するための段階的な軽減策に関するアドバイスを提供しています。
CVE-2026-45585 と YellowKey エクスプロイト
CVE-2026-45585 は、攻撃者が脆弱なデバイスへの物理的なアクセスを持っている場合にのみ悪用できるセキュリティ機能バイパス脆弱性です。これは、Windows 11 および Windows Server 2025 の様々なバージョンに影響します。
この脆弱性の存在は、Nightmare Eclipse という名前のセキュリティ研究者によって 1 週間前にゼロデイとして公開されました。Microsoft のバグ報告への対応に対する不満が表向きの理由のようです。彼らが公開した概念実証(PoC)エクスプロイトは簡単に悪用できます。
BitLocker の基本的な約束は、盗まれたマシンや放置されたマシンでも、データが保存中に暗号化されており、キーが Trusted Platform Module (TPM) に関連付けられているため、ドライブが削除されたり、マシンの電源が切られたりしても、ユーザーのデータが安全に保たれるということです。TPM はキーを解放する前に、ブート プロセスが改ざんされていないことも検証します。
「脆弱性は暗号化そのものにあるのではなく、BitLocker の周囲の復旧環境にあります。」と NCSC Netherlands が指摘しました。
脆弱性アナリストの Will Dormann が、PoC エクスプロイトが機能することを確認しました。
利用可能な軽減策
Microsoft が提供する軽減策は次のいずれかです:
- マウントされた Windows Recovery Environment (Windows RE) イメージ ハイブから脆弱な値(autofstx.exe)を削除し、WinRE の BitLocker トラストを再確立するか、
- BitLocker 保護に PIN を追加する
Dormann は、WinRE イメージが起動するときに FsTx 自動回復ユーティリティ(autofstx.exe)が自動的に起動するのを防がれるため、最初のオプションが機能することを指摘しました。
2 番目のより実装が簡単なオプションも機能しますが、Nightmare Eclipse は以前、TPM+PIN 保護をバイパスできる PoC エクスプロイトを保有していることを述べていました。
彼らは以前、以下を含むいくつかの Microsoft ゼロデイの PoC を公開していました:
- BlueHammer(Windows ローカル権限昇格脆弱性)、
- RedSun(別の Windows 権限昇格欠陥)、および
- UnDefend(Microsoft Defender が署名更新を受け取るのをブロックしたり、それを無効にしたりするために悪用できる脆弱性)。
翻訳元: https://www.helpnetsecurity.com/2026/05/20/yellowkey-bitlocker-mitigation-cve-2026-45585/
