Microsoft Revela Medidas Provisórias Contra a Vulnerabilidade Zero-Day YellowKey que Burlava o BitLocker
A Microsoft divulgou medidas de segurança temporárias para mitigar a vulnerabilidade YellowKey, um exploit zero-day que permite contornar a criptografia BitLocker em dispositivos Windows. A falha, identificada como CVE-2026-45585, permite acesso a dados criptografados com acesso físico ao sistema. A empresa recomenda desativar o FsTx Auto Recovery e fortalecer as configurações do BitLocker.
MundiX News·22 de maio de 2026·3 min de leitura·👁 3 views
A Microsoft apresentou medidas de segurança provisórias para lidar com o problema YellowKey, uma vulnerabilidade zero-day que permite contornar o BitLocker. Essa falha, que recebeu o identificador CVE-2026-45585 e uma pontuação de 6,8 na escala CVSS, possibilita o acesso a dados criptografados em dispositivos Windows, desde que haja acesso físico ao sistema.
A vulnerabilidade foi descoberta na semana passada, quando o pesquisador de segurança sob o pseudônimo Chaotic Eclipse (também conhecido como Nightmare Eclipse) publicou um PoC (Proof of Concept) e uma descrição detalhada do ataque. De acordo com o especialista, para explorar a falha, basta gravar arquivos FsTx especialmente preparados em uma unidade USB ou na partição EFI e, em seguida, reiniciar o sistema no Windows Recovery Environment (WinRE). Em vez do modo de recuperação padrão, o invasor obtém acesso ao shell de comando e ao conteúdo do disco descriptografado pelo BitLocker.
A Microsoft confirmou a existência do problema e alertou que um ataque bem-sucedido permite contornar o mecanismo de criptografia BitLocker Device Encryption e obter acesso aos dados protegidos. Enquanto os desenvolvedores trabalham em um patch completo, a Microsoft recomenda desativar a execução automática do utilitário FsTx Auto Recovery (autofstx.exe) no ambiente WinRE. Para fazer isso, os administradores precisam alterar as configurações da imagem WinRE e remover a entrada autofstx.exe do valor BootExecute na seção Session Manager.
A Microsoft também aconselha a não usar a configuração BitLocker no modo TPM-only e a ativar a proteção adicional TPM+PIN, para que um PIN seja necessário para descriptografar o disco na inicialização. No entanto, o próprio Nightmare Eclipse afirma que o YellowKey pode contornar a proteção mesmo em sistemas com TPM+PIN ativo.
Como explica o analista da Tharros Labs, Will Dormann, o mecanismo Transactional NTFS Replay permite que o exploit exclua o arquivo winpeshl.ini, que define o comportamento do WinRE. Como resultado, em vez do ambiente de recuperação, o sistema abre um prompt de comando com a partição BitLocker já desbloqueada para o invasor.
Dormann observa que o fato de o diretório \System Volume Information\FsTx em uma partição ser capaz de alterar o conteúdo de outra partição durante o processo de replay é particularmente alarmante. Segundo ele, isso pode indicar um problema mais fundamental no mecanismo Transactional NTFS.
É importante notar que o YellowKey não é a única vulnerabilidade zero-day publicada pelo pesquisador no Windows recentemente. Além dela, Nightmare Eclipse revelou informações sobre as vulnerabilidades BlueHammer (CVE-2026-33825), GreenPlasma, RedSun e UnDefend, algumas das quais já estão sendo usadas em ataques reais. O pesquisador afirma que está fazendo isso em protesto contra a forma como o Microsoft Security Response Center (MSRC) trata os especialistas em segurança. Segundo ele, representantes da Microsoft o ameaçaram e prometeram "arruinar sua vida".
A Microsoft apresentou medidas de segurança provisórias para lidar com o problema YellowKey, uma vulnerabilidade zero-day que permite contornar o BitLocker. Essa falha, que recebeu o identificador CVE-2026-45585 e uma pontuação de 6,8 na escala CVSS, possibilita o acesso a dados criptografados em dispositivos Windows, desde que haja acesso físico ao sistema.
A vulnerabilidade foi descoberta na semana passada, quando o pesquisador de segurança sob o pseudônimo Chaotic Eclipse (também conhecido como Nightmare Eclipse) publicou um PoC (Proof of Concept) e uma descrição detalhada do ataque. De acordo com o especialista, para explorar a falha, basta gravar arquivos FsTx especialmente preparados em uma unidade USB ou na partição EFI e, em seguida, reiniciar o sistema no Windows Recovery Environment (WinRE). Em vez do modo de recuperação padrão, o invasor obtém acesso ao shell de comando e ao conteúdo do disco descriptografado pelo BitLocker.
A Microsoft confirmou a existência do problema e alertou que um ataque bem-sucedido permite contornar o mecanismo de criptografia BitLocker Device Encryption e obter acesso aos dados protegidos. Enquanto os desenvolvedores trabalham em um patch completo, a Microsoft recomenda desativar a execução automática do utilitário FsTx Auto Recovery (autofstx.exe) no ambiente WinRE. Para fazer isso, os administradores precisam alterar as configurações da imagem WinRE e remover a entrada autofstx.exe do valor BootExecute na seção Session Manager.
A Microsoft também aconselha a não usar a configuração BitLocker no modo TPM-only e a ativar a proteção adicional TPM+PIN, para que um PIN seja necessário para descriptografar o disco na inicialização. No entanto, o próprio Nightmare Eclipse afirma que o YellowKey pode contornar a proteção mesmo em sistemas com TPM+PIN ativo.
Como explica o analista da Tharros Labs, Will Dormann, o mecanismo Transactional NTFS Replay permite que o exploit exclua o arquivo winpeshl.ini, que define o comportamento do WinRE. Como resultado, em vez do ambiente de recuperação, o sistema abre um prompt de comando com a partição BitLocker já desbloqueada para o invasor.
Dormann observa que o fato de o diretório \System Volume Information\FsTx em uma partição ser capaz de alterar o conteúdo de outra partição durante o processo de replay é particularmente alarmante. Segundo ele, isso pode indicar um problema mais fundamental no mecanismo Transactional NTFS.
É importante notar que o YellowKey não é a única vulnerabilidade zero-day publicada pelo pesquisador no Windows recentemente. Além dela, Nightmare Eclipse revelou informações sobre as vulnerabilidades BlueHammer (CVE-2026-33825), GreenPlasma, RedSun e UnDefend, algumas das quais já estão sendo usadas em ataques reais. O pesquisador afirma que está fazendo isso em protesto contra a forma como o Microsoft Security Response Center (MSRC) trata os especialistas em segurança. Segundo ele, representantes da Microsoft o ameaçaram e prometeram "arruinar sua vida".
