YellowKey: Exploit Zero-Day Contorna Completamente a Proteção Padrão do BitLocker no Windows 11
Um novo exploit chamado YellowKey permite que qualquer pessoa com acesso físico a um sistema Windows 11 contorne o BitLocker e acesse discos criptografados em segundos. A vulnerabilidade explora uma falha relacionada ao Transactional NTFS (TxF) e expõe milhões de dispositivos a riscos.
MundiX News·19 de maio de 2026·5 min de leitura·👁 10 views
Um exploit zero-day recém-descoberto, denominado YellowKey, está permitindo que indivíduos com acesso físico a sistemas Windows 11 contornem as configurações padrão do BitLocker e obtenham acesso completo a discos criptografados em questão de segundos. Esta vulnerabilidade, publicada por um pesquisador sob o pseudônimo Nightmare-Eclipse, contorna de forma confiável as configurações padrão do BitLocker, o sistema de criptografia de volume completo da Microsoft projetado para proteger o conteúdo contra acesso não autorizado, a menos que a chave de descriptografia correta seja fornecida. A chave de descriptografia é normalmente armazenada em um módulo de plataforma confiável (TPM), um componente de hardware seguro. O BitLocker é um requisito de segurança obrigatório para muitas organizações, especialmente aquelas que lidam com contratos governamentais, tornando esta falha uma preocupação significativa.
O cerne do exploit YellowKey reside em uma pasta especialmente preparada chamada FsTx. A documentação para esta diretoria é raramente encontrada em fontes abertas, possivelmente devido à sua associação com o que a Microsoft chama de Transactional NTFS (TxF). O TxF é uma tecnologia que permite aos desenvolvedores garantir a 'atomicidade transacional' para operações de arquivo, seja em um único arquivo ou em vários, mesmo que estejam localizados em diferentes fontes de dados. A metodologia para explorar essa vulnerabilidade é surpreendentemente direta. O atacante precisa copiar a pasta FsTx personalizada de um repositório (como o de Nightmare-Eclipse) para um dispositivo USB formatado em NTFS ou FAT. Em seguida, o dispositivo USB é conectado ao sistema Windows 11 protegido pelo BitLocker. Ao iniciar o sistema, o atacante deve pressionar e segurar a tecla [Ctrl] imediatamente. Isso força o sistema a entrar no Ambiente de Recuperação do Windows (WinRE). O acesso ao WinRE pode ser obtido de pelo menos duas maneiras: iniciando o Windows, segurando [Shift], clicando no ícone de energia e selecionando 'Reiniciar', ou ligando o dispositivo e reiniciando-o logo após o início do processo de boot do Windows. Em qualquer um desses cenários, uma janela do CMD.EXE é apresentada com acesso total a todo o conteúdo do disco, permitindo que um invasor copie, modifique ou exclua arquivos. Em um cenário de recuperação normal do Windows, um usuário precisaria inserir a chave de recuperação do BitLocker. O exploit YellowKey, de alguma forma, contorna essa exigência, permitindo acesso irrestrito.
Pesquisadores de segurança independentes, incluindo Kevin Beaumont e Will Dormann, confirmaram a funcionalidade do exploit conforme descrito. O mecanismo exato pelo qual a pasta FsTx personalizada aciona o contorno da proteção ainda não está totalmente claro. Will Dormann especula que isso está relacionado ao Transactional NTFS, que utiliza um sistema de arquivos com registro em log (command-log file system) internamente. Dormann também observou que a biblioteca fstx.dll do Windows contém uma referência explícita à busca pelo caminho \System Volume Information\FsTx na função FsTxFindSessions(). Isso cria uma oportunidade para um ataque: uma estrutura especialmente criada no diretório System Volume Information pode interferir na lógica de operação do ambiente de recuperação, forçando o sistema a abrir um prompt de comando com privilégios que ignoram as políticas do BitLocker. A importância desta vulnerabilidade reside no fato de que o BitLocker não é apenas um recurso opcional; em ambientes corporativos, é um componente essencial de conformidade para proteger dados em dispositivos perdidos ou roubados. Se um invasor pode contornar a criptografia em segundos usando um simples pendrive, a segurança física do dispositivo se torna primordial, e muitas vezes é o elo mais fraco na cadeia de segurança. Além disso, o exploit afeta as configurações padrão do Windows 11, o que significa que milhões de dispositivos com a configuração típica BitLocker+TPM estão vulneráveis sem qualquer ação do usuário. Até o momento da publicação deste artigo, a Microsoft não havia lançado um patch oficial. Recomendações incluem o reforço da segurança física dos dispositivos, a utilização de um PIN para o BitLocker (se a política organizacional permitir, pois a autenticação pré-boot pode dificultar a exploração) e o monitoramento dos canais oficiais da Microsoft para atualizações de segurança. A situação com o YellowKey destaca a necessidade de soluções de segurança mais robustas, especialmente em um cenário onde os dados corporativos críticos residem em dispositivos de endpoint. A migração de serviços de trabalho, bancos de dados e armazenamento de arquivos para a nuvem protegida pode mitigar esses riscos, minimizando a quantidade de dados sensíveis nos dispositivos locais e centralizando o armazenamento em data centers com controle de acesso físico rigoroso, redundância e monitoramento 24/7, onde cenários de ataque como este são praticamente impossíveis.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um exploit zero-day recém-descoberto, denominado YellowKey, está permitindo que indivíduos com acesso físico a sistemas Windows 11 contornem as configurações padrão do BitLocker e obtenham acesso completo a discos criptografados em questão de segundos. Esta vulnerabilidade, publicada por um pesquisador sob o pseudônimo Nightmare-Eclipse, contorna de forma confiável as configurações padrão do BitLocker, o sistema de criptografia de volume completo da Microsoft projetado para proteger o conteúdo contra acesso não autorizado, a menos que a chave de descriptografia correta seja fornecida. A chave de descriptografia é normalmente armazenada em um módulo de plataforma confiável (TPM), um componente de hardware seguro. O BitLocker é um requisito de segurança obrigatório para muitas organizações, especialmente aquelas que lidam com contratos governamentais, tornando esta falha uma preocupação significativa.
O cerne do exploit YellowKey reside em uma pasta especialmente preparada chamada FsTx. A documentação para esta diretoria é raramente encontrada em fontes abertas, possivelmente devido à sua associação com o que a Microsoft chama de Transactional NTFS (TxF). O TxF é uma tecnologia que permite aos desenvolvedores garantir a 'atomicidade transacional' para operações de arquivo, seja em um único arquivo ou em vários, mesmo que estejam localizados em diferentes fontes de dados. A metodologia para explorar essa vulnerabilidade é surpreendentemente direta. O atacante precisa copiar a pasta FsTx personalizada de um repositório (como o de Nightmare-Eclipse) para um dispositivo USB formatado em NTFS ou FAT. Em seguida, o dispositivo USB é conectado ao sistema Windows 11 protegido pelo BitLocker. Ao iniciar o sistema, o atacante deve pressionar e segurar a tecla [Ctrl] imediatamente. Isso força o sistema a entrar no Ambiente de Recuperação do Windows (WinRE). O acesso ao WinRE pode ser obtido de pelo menos duas maneiras: iniciando o Windows, segurando [Shift], clicando no ícone de energia e selecionando 'Reiniciar', ou ligando o dispositivo e reiniciando-o logo após o início do processo de boot do Windows. Em qualquer um desses cenários, uma janela do CMD.EXE é apresentada com acesso total a todo o conteúdo do disco, permitindo que um invasor copie, modifique ou exclua arquivos. Em um cenário de recuperação normal do Windows, um usuário precisaria inserir a chave de recuperação do BitLocker. O exploit YellowKey, de alguma forma, contorna essa exigência, permitindo acesso irrestrito.
Pesquisadores de segurança independentes, incluindo Kevin Beaumont e Will Dormann, confirmaram a funcionalidade do exploit conforme descrito. O mecanismo exato pelo qual a pasta FsTx personalizada aciona o contorno da proteção ainda não está totalmente claro. Will Dormann especula que isso está relacionado ao Transactional NTFS, que utiliza um sistema de arquivos com registro em log (command-log file system) internamente. Dormann também observou que a biblioteca fstx.dll do Windows contém uma referência explícita à busca pelo caminho \System Volume Information\FsTx na função FsTxFindSessions(). Isso cria uma oportunidade para um ataque: uma estrutura especialmente criada no diretório System Volume Information pode interferir na lógica de operação do ambiente de recuperação, forçando o sistema a abrir um prompt de comando com privilégios que ignoram as políticas do BitLocker. A importância desta vulnerabilidade reside no fato de que o BitLocker não é apenas um recurso opcional; em ambientes corporativos, é um componente essencial de conformidade para proteger dados em dispositivos perdidos ou roubados. Se um invasor pode contornar a criptografia em segundos usando um simples pendrive, a segurança física do dispositivo se torna primordial, e muitas vezes é o elo mais fraco na cadeia de segurança. Além disso, o exploit afeta as configurações padrão do Windows 11, o que significa que milhões de dispositivos com a configuração típica BitLocker+TPM estão vulneráveis sem qualquer ação do usuário. Até o momento da publicação deste artigo, a Microsoft não havia lançado um patch oficial. Recomendações incluem o reforço da segurança física dos dispositivos, a utilização de um PIN para o BitLocker (se a política organizacional permitir, pois a autenticação pré-boot pode dificultar a exploração) e o monitoramento dos canais oficiais da Microsoft para atualizações de segurança. A situação com o YellowKey destaca a necessidade de soluções de segurança mais robustas, especialmente em um cenário onde os dados corporativos críticos residem em dispositivos de endpoint. A migração de serviços de trabalho, bancos de dados e armazenamento de arquivos para a nuvem protegida pode mitigar esses riscos, minimizando a quantidade de dados sensíveis nos dispositivos locais e centralizando o armazenamento em data centers com controle de acesso físico rigoroso, redundância e monitoramento 24/7, onde cenários de ataque como este são praticamente impossíveis.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
