A Microsoft divulgou medidas de mitigação para o YellowKey, uma vulnerabilidade zero-day no BitLocker do Windows que, revelada recentemente, permite acesso a unidades protegidas.
A falha de segurança foi tornada pública na semana passada por um pesquisador de segurança anônimo conhecido como “Nightmare Eclipse”, que a descreveu como uma backdoor e publicou um exploit de prova de conceito (PoC).
Segundo o pesquisador, a exploração desse zero-day envolve a colocação de arquivos “FsTx” especialmente criados em um dispositivo USB ou em uma partição EFI, seguida da reinicialização no WinRE e, então, do acionamento de um shell com acesso irrestrito ao volume de armazenamento protegido pelo BitLocker ao manter a tecla CTRL pressionada.
No mês passado, o pesquisador também divulgou as falhas zero-day BlueHammer (
CVE-2026-33825
) e RedSun, esta sem identificador, ambas de escalada local de privilégios (LPE) e que agora estão sendo exploradas em ataques.
O pesquisador também vazou o GreenPlasma, uma falha de segurança zero-day para escalada de privilégios que pode ser abusada por atacantes para obter um shell SYSTEM, e o UnDefend, outro zero-day que atacantes com permissões de usuário comum podem explorar para bloquear atualizações de definições do Microsoft Defender.
Embora as circunstâncias exatas que desencadearam essa sequência de vazamentos de exploits ainda não estejam claras, Nightmare Eclipse afirmou anteriormente que essas divulgações são um protesto contra a forma como o Microsoft Security Response Center (MSRC) tratou o processo de divulgação de outras falhas de segurança relatadas por ele no passado.
Na terça-feira, a Microsoft informou que agora acompanha a falha YellowKey sob o identificador
CVE-2026-45585
e divulgou medidas de mitigação para defender sistemas contra possíveis ataques em andamento.
“A Microsoft tem conhecimento de uma vulnerabilidade de desvio de recurso de segurança no Windows, publicamente referida como ‘YellowKey’.
A prova de conceito dessa vulnerabilidade foi tornada pública em violação às melhores práticas de divulgação coordenada de vulnerabilidades”, afirmou a empresa em um aviso publicado na terça-feira.
“Estamos emitindo este CVE para fornecer orientações de mitigação que podem ser implementadas para proteger contra essa vulnerabilidade até que a atualização de segurança esteja disponível.”
Para mitigar ataques com YellowKey, a Microsoft recomendou remover a entrada autofstx.exe do valor REG_MULTI_SZ BootExecute do Session Manager e, em seguida, restabelecer a confiança do BitLocker para o WinRE seguindo o procedimento descrito em “Mitigações” no aviso do
CVE-2026-33825
.
“Especificamente, isso impede que o FsTx Auto Recovery Utility, autofstx.exe, seja iniciado automaticamente quando a imagem do WinRE for carregada”, explicou Will Dormann, analista principal de vulnerabilidades da Tharros.
“Com essa alteração, a reprodução transacional do NTFS que apaga o winpeshl.ini deixa de ocorrer.”
A Microsoft também recomendou que clientes configurem o BitLocker em dispositivos já criptografados do modo “TPM-only” para o modo “TPM+PIN” por meio do PowerShell, da linha de comando ou do painel de controle, o que exigirá um PIN antes da inicialização para descriptografar a unidade no startup e deve bloquear ataques YellowKey.
Em dispositivos ainda não criptografados, administradores podem ativar a opção “Require additional authentication at startup” via Microsoft Intune ou Diretivas de Grupo, garantindo ao mesmo tempo que “Configure TPM startup PIN” esteja definido como “Require startup PIN with TPM”.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...