Microsoft pubblica mitigazioni per YellowKey che bypassa BitLocker su Windows 11

Microsoft pubblica mitigazioni urgenti per YellowKey, il nuovo zero-day che aggira BitLocker su Windows 11 e consente accesso completo ai volumi crittografati con semplice accesso fisico al dispositivo. L’azienda ha assegnato la vulnerabilità CVE-2026-45585 e diffuso istruzioni dettagliate per bloccare l’exploit reso pubblico dal ricercatore anonimo Nightmare Eclipse. Il difetto sfrutta l’ambiente di recovery WinRE e file FsTx appositamente creati per ottenere una shell con privilegi completi sul disco protetto. La vulnerabilità colpisce tutti i sistemi Windows 11 configurati con BitLocker in modalità TPM-only oltre a Windows Server 2025. Microsoft non ha ancora rilasciato una patch definitiva ma invita immediatamente amministratori e utenti enterprise ad applicare le mitigazioni disponibili per evitare furto di dati sensibili. L’episodio rappresenta l’ennesimo zero-day BitLocker divulgato pubblicamente nelle ultime settimane dallo stesso ricercatore e conferma quanto gli attacchi contro i meccanismi di cifratura fisica dei dispositivi stiano diventando sempre più sofisticati.

YellowKey permette di bypassare BitLocker tramite WinRE e file FsTx modificati

L’exploit YellowKey consente a un attaccante con accesso fisico al dispositivo di aggirare completamente la protezione di BitLocker. La tecnica prevede l’inserimento di una chiavetta USB malevola oppure la modifica della partizione EFI con file FsTx appositamente creati. Dopo il riavvio del sistema in Windows Recovery Environment, l’attaccante tiene premuto il tasto CTRL durante il caricamento e ottiene così una shell con accesso illimitato al volume crittografato. Il ricercatore Nightmare Eclipse ha pubblicato il proof-of-concept completo su GitHub senza seguire le pratiche di coordinated disclosure normalmente adottate nel settore cybersecurity. Microsoft ha confermato la vulnerabilità classificandola come CVE-2026-45585 con punteggio CVSS 6.8. Il bypass funziona su Windows 11 24H2, 25H2, 26H1 oltre che su Windows Server 2025 e versioni Server Core. Gli esperti sottolineano che l’attacco non richiede credenziali, privilegi amministrativi o accesso remoto ma soltanto accesso fisico temporaneo al dispositivo. Questo rende particolarmente esposti notebook aziendali, workstation portatili e sistemi edge utilizzati fuori da ambienti controllati.

L’exploit sfrutta autofstx.exe e il caricamento automatico di WinRE

Il funzionamento tecnico di YellowKey ruota attorno al comportamento automatico dell’utility FsTx Auto Recovery, identificata nel processo autofstx.exe, che viene eseguita durante il caricamento di WinRE. L’attaccante impedisce l’esecuzione corretta del processo e forza il sistema operativo a caricare un file winpeshl.ini modificato. Una volta ottenuto il controllo dell’ambiente di recovery, il semplice utilizzo del tasto CTRL permette di avviare una shell con accesso diretto ai dati crittografati dal volume BitLocker. Will Dormann, principal vulnerability analyst di Tharros, ha spiegato che la modifica blocca il meccanismo Transactional NTFS normalmente responsabile dell’eliminazione automatica di winpeshl.ini. Questo comportamento anomalo consente quindi la persistenza del file malevolo e l’esecuzione arbitraria del codice durante il boot recovery. Gli esperti evidenziano che l’attacco risulta particolarmente pericoloso nei contesti enterprise dove la protezione BitLocker viene spesso configurata esclusivamente tramite TPM senza PIN aggiuntivo. In questi scenari il disco si sblocca automaticamente all’avvio lasciando aperta la possibilità di bypass fisici come YellowKey.

Microsoft consiglia di passare immediatamente da TPM-only a TPM+PIN

Microsoft ha pubblicato due mitigazioni principali per ridurre il rischio legato a YellowKey fino alla disponibilità della patch definitiva. La misura più efficace consiste nel passaggio dalla modalità TPM-only alla configurazione TPM+PIN. In questo scenario l’utente deve inserire manualmente un PIN pre-boot prima dello sblocco del disco, impedendo all’exploit di ottenere automaticamente accesso al volume cifrato. Per i sistemi già protetti da BitLocker il cambiamento può essere effettuato tramite PowerShell, prompt dei comandi oppure direttamente dal Pannello di controllo. Nei dispositivi enterprise non ancora configurati gli amministratori devono utilizzare Microsoft Intune oppure Group Policy per attivare l’opzione “Require additional authentication at startup” e impostare “Configure TPM startup PIN” su “Require startup PIN with TPM”. Secondo Microsoft questa mitigazione blocca completamente il funzionamento dell’exploit YellowKey senza causare impatti significativi sulle prestazioni generali del sistema operativo. Gli esperti di sicurezza consigliano inoltre di utilizzare PIN complessi e non facilmente prevedibili per evitare attacchi brute force o compromissioni fisiche più avanzate.

La seconda mitigazione modifica direttamente l’immagine WinRE

La seconda mitigazione proposta da Microsoft richiede interventi più tecnici sull’ambiente WinRE. Gli amministratori devono montare manualmente l’immagine di recovery e modificare il valore BootExecute REG_MULTI_SZ del Session Manager rimuovendo la voce autofstx.exe. Dopo la modifica è necessario salvare l’immagine aggiornata, smontarla e ristabilire la fiducia BitLocker per WinRE seguendo la procedura già utilizzata nella vulnerabilità CVE-2026-33825. Questa soluzione impedisce il caricamento automatico dell’utility sfruttata da YellowKey ma richiede procedure operative più delicate rispetto alla semplice attivazione del TPM+PIN. Microsoft raccomanda quindi di testare attentamente le modifiche in ambienti di staging prima del rollout su larga scala nei contesti enterprise. Le organizzazioni che gestiscono migliaia di endpoint devono inoltre verificare la compatibilità delle modifiche con strumenti di recovery, imaging e gestione centralizzata. Nonostante la complessità operativa, questa mitigazione rappresenta un’opzione importante soprattutto nei sistemi dove l’utilizzo di PIN pre-boot risulta difficile da implementare per motivi logistici o infrastrutturali.

Windows 11 e Server 2025 risultano particolarmente esposti agli attacchi fisici

YellowKey colpisce direttamente le versioni più recenti di Windows 11 e Windows Server 2025 configurate con protezione BitLocker basata esclusivamente sul TPM. In questi sistemi il modulo TPM sblocca automaticamente il volume cifrato durante il boot senza richiedere autenticazione aggiuntiva all’utente. Questo modello di sicurezza migliora l’esperienza utente ma espone il dispositivo a bypass fisici avanzati come quello dimostrato da Nightmare Eclipse. Le aziende che gestiscono notebook aziendali, server edge, workstation mobili o dispositivi utilizzati fuori dagli uffici devono considerare l’applicazione delle mitigazioni come priorità critica. Microsoft sottolinea che l’exploit non necessita privilegi amministrativi, malware persistente o accesso di rete. Basta un breve accesso fisico al sistema per compromettere completamente la riservatezza dei dati presenti sul disco. Il ricercatore ha inoltre collegato la divulgazione pubblica della vulnerabilità a proteste contro le procedure del Microsoft Security Response Center, accusato di lentezza nella gestione dei report di sicurezza. Questo elemento aggiunge ulteriore tensione al dibattito sulle coordinated disclosure e sul rapporto tra ricercatori indipendenti e vendor software.

Nightmare Eclipse continua la pubblicazione di zero-day contro Windows

Nightmare Eclipse ha divulgato numerosi zero-day nelle ultime settimane, molti dei quali riguardano componenti sensibili di Windows e dell’ecosistema Microsoft. Tra questi compaiono vulnerabilità come BlueHammer, RedSun, GreenPlasma e UnDefend, utilizzate rispettivamente per bypass di sicurezza, escalation privilegi e disattivazione delle protezioni di Microsoft Defender. Diversi di questi exploit risultano già sfruttati in attacchi reali secondo le analisi della comunità cybersecurity. YellowKey si inserisce in questa serie di divulgazioni pubbliche corredate da proof-of-concept dettagliati pubblicati direttamente su GitHub. Microsoft ha reagito rapidamente fornendo guidance tecniche e mitigazioni operative mentre continua lo sviluppo della patch definitiva. Gli esperti raccomandano alle organizzazioni di monitorare costantemente gli advisory del MSRC e di mantenere aggiornate policy di hardening, sistemi di logging e configurazioni BitLocker. L’aumento della frequenza di divulgazioni pubbliche non coordinate rende sempre più importante la capacità delle aziende di applicare mitigazioni temporanee rapidamente anche prima del rilascio delle patch ufficiali.

Microsoft invita aziende e utenti a rafforzare immediatamente BitLocker

Microsoft invita tutti gli amministratori a verificare immediatamente la configurazione di BitLocker sui sistemi Windows 11 e Server 2025 presenti in azienda. Le organizzazioni devono aggiornare le Group Policy per imporre l’utilizzo della modalità TPM+PIN e testare le procedure di modifica di WinRE in ambienti controllati. Anche gli utenti domestici possono applicare facilmente il passaggio tramite il Pannello di controllo o strumenti di gestione BitLocker integrati nel sistema operativo. Fino alla disponibilità della patch definitiva, Microsoft raccomanda inoltre di mantenere i dispositivi sensibili sotto controllo fisico costante e di combinare BitLocker con ulteriori meccanismi di autenticazione come Windows Hello, smart card o credenziali multifattore. L’azienda ha promesso di aggiornare la guida relativa alla CVE-2026-45585 non appena sarà disponibile la correzione definitiva del difetto. Le mitigazioni pubblicate rappresentano attualmente la difesa più concreta contro un exploit già disponibile pubblicamente e facilmente replicabile. L’intero incidente sottolinea ancora una volta quanto configurazioni BitLocker robuste e risposte tempestive agli zero-day restino elementi fondamentali per proteggere dati sensibili e infrastrutture aziendali moderne.