Microsoftは火曜日、最近公開されたBitLockerバイパスにつながるゼロデイ脆弱性YellowKeyの対策をロールアウトしました。
この問題はCVE-2026-45585(CVSSスコア6.8)として追跡されており、システムへの物理的なアクセスを持つ攻撃者が、公開されたYellowKeyエクスプロイトコードを含むUSBドライブを使用してシステムをリカバリーモードで再起動することでトリガーできます。
攻撃者に通常のWindows Recovery Environment(WinRE)を提供する代わりに、エクスプロイトはシェルを生成し、BitLockerの暗号化でもはや保護されていない、基礎となるパーティションの内容へのアクセスを提供します。
Microsoftの勧告は公開されたエクスプロイトとその影響を認めています:「成功した攻撃者はシステムストレージデバイスのBitLockerデバイス暗号化機能をバイパスできる可能性があります。ターゲットへの物理的なアクセスを持つ攻撃者はこの脆弱性を悪用して暗号化されたデータにアクセスできます。」
勧告では、テック大手はWinReイメージを各デバイスにマウントする、イメージのシステムレジストリハイブをマウントする、マウントされたハイブからautofstx.exeを削除する、更新されたイメージをマウントする、およびWinReのBitLockerトラストを再確立することを含む複数段階のプロセスについてディフェンダーをガイドしています。
同社はまた、BitLockerにPINを追加することを推奨しています。しかし、エクスプロイトおよび他の複数のWindowsゼロデイを公開した不満を持つ研究者であるChaotic Eclipseは、YellowKeyはTPM(信頼されたプラットフォームモジュール)保護がPINで補足されたシステムでも機能すると主張しています。
Microsoftがロールアウトした対策は、Tharros Labs上級主任脆弱性アナリストのWill Dormannが述べているように、WinREイメージの初期化中にFsTx自動復旧ユーティリティ(autofstx.exe)が自動的に実行されるのを効果的に防ぎます。
基本的な脆弱性は、Dormannが先週説明したように、Windows Recoveryに入るときにUSBドライブからFsTxをトリガーしてwinpeshl.iniファイルを削除することを含み、これは基本的にWinREの動作を制御します。
YellowKeyエクスプロイトはFsTxディレクトリを含み、USBドライブに配置すると、Transactional NTFSリプレイに依存してSystem32フォルダのwinpeshl.iniファイルを削除し、その結果、攻撃者は通常のリカバリーモードの代わりにBitLockerがロック解除されたコマンドプロンプトウィンドウを提供されます。
「TPMのみのBitlockerバイパスは確かに興味深いですが、埋もれたリード部分はここに、1つのボリューム上の\System Volume Information\FsTxディレクトリが、リプレイされるときに別のボリュームの内容を変更する能力があるということだと思います。私にとって、これ自体が脆弱性のように聞こえます。」とDormannは述べています。
翻訳元: https://www.securityweek.com/microsoft-rolls-out-mitigations-for-yellowkey-bitlocker-bypass/
