安全研究團隊近日揭露了一項影響微軟 bitlocker 加密機制的高危漏洞——yellowkey(cve-2026-45585)。該漏洞使攻擊者能夠繞過 windows 復原環境(winre)中的正常加密驗證程序,直接存取以 bitlocker 加密的磁碟資料。由於研究人員與微軟在協調披露過程中未能達成共識,加上微軟初期回應遲緩,該漏洞最終被公開披露。
目前,微軟已正式確認此問題,並發布了一項臨時修復措施,旨在停用 winre 中具有風險的 fstx 自動恢復組件(autofstx.exe)。該解決方案透過修改 bootexecute 登錄項目來實現,從而防止惡意程式碼在系統早期啟動或復原模式下以提升權限執行。微軟計劃將永久修復方案納入其定期累積更新中,屆時用戶將無需再依賴腳本進行長期保護。
根據微軟的安全公告,該漏洞的 cvss 評分為 6.8(中高嚴重性),且需要實體存取裝置才能加以利用。受影響的版本包括 windows 11 24h2、25h2、26h1,以及 windows server 2025 和相關系統。值得注意的是,若裝置已啟用基於 tpm 的 pin 双重認證,則此漏洞將無法成功被利用。
對於面臨裝置失竊或實體存取等風險的使用者,建議盡快部署官方提供的修復腳本。該腳本會離線掛載並編輯 winre 映像中的系統登錄鍵,精確移除 autofstx.exe 的啟動項目,同時確保 bitlocker 的完整性不受影響,從而阻斷潛在的攻擊途徑。
官方修復腳本下載連結:https://msrc.microsoft.com/update-guide/vulnerability/cve-2026-45585
