Microsoft lanzó el martes una mitigación para una vulnerabilidad de omisión de BitLocker llamada YellowKey luego de su divulgación pública la semana pasada.

La falla de día cero, ahora rastreada como CVE-2026-45585tiene una puntuación CVSS de 6,8. Se ha descrito como una omisión de la característica de seguridad de BitLocker.

«Microsoft es consciente de una vulnerabilidad de elusión de una característica de seguridad en Windows a la que públicamente se hace referencia como ‘YellowKey’», el gigante tecnológico dicho en un aviso. «La prueba de concepto de esta vulnerabilidad se ha hecho pública, violando las mejores prácticas coordinadas de vulnerabilidad».

El problema afecta a Windows 11 versión 26H1 para sistemas basados ​​en x64, Windows 11 versión 24H2 para sistemas basados ​​en x64, Windows 11 versión 25H2 para sistemas basados ​​en x64, Windows Server 2025 y Windows Server 2025 (instalación Server Core).

YellowKey fue revelado por un investigador de seguridad llamado Chaotic Eclipse (también conocido como Nightmare-Eclipse). Básicamente, permite colocar archivos ‘FsTx’ especialmente diseñados en una unidad USB o partición EFI, conectar la unidad USB a la computadora Windows de destino con las protecciones BitLocker activadas, reiniciar en el Entorno de recuperación de Windows (WinRE) y activar un shell con acceso sin restricciones manteniendo presionada la tecla CTRL.

«Si hizo todo correctamente, se generará un shell con acceso ilimitado al volumen protegido de BitLocker», señaló el investigador en una publicación de GitHub.

Redmond señaló que una explotación exitosa podría permitir a un atacante con acceso físico eludir la función de cifrado de dispositivo BitLocker en el dispositivo de almacenamiento del sistema y obtener acceso a datos cifrados.

Para abordar el riesgo, se han descrito las siguientes mitigaciones:

• Monte la imagen de WinRE en cada dispositivo.
• Monte la sección del registro del sistema de la imagen de WinRE montada.
• Modifique BootExecute eliminando el valor «autofstx.exe» del valor BootExecute REG_MULTI_SZ del Administrador de sesiones.
• Guardar y descargar colmena de registro.
• Desmonte y confirme la imagen WinRE actualizada.
• Restablezca la confianza de BitLocker para WinRE.

«Específicamente, evita que la utilidad de recuperación automática FsTx, autofstx.exe, se inicie automáticamente cuando se inicia la imagen de WinRE», dijo el investigador de seguridad Will Dormann. dicho. «Con este cambio, la reproducción NTFS transaccional que elimina winpeshl.ini ya no ocurre. También recomienda cambiar de solo TPM a TPM+PIN».

Microsoft también enfatizó que los usuarios pueden estar protegidos contra la explotación mediante configurando BitLocker en dispositivos ya cifrados con protector «solo TPM» cambiando al modo «TPM+PIN» a través de PowerShell, la línea de comando o el panel de control. Esto requerirá un PIN para descifrar la unidad al inicio, respaldando efectivamente los ataques de YellowKey.

En dispositivos que no están cifrados, se recomienda a los administradores habilitar la opción «Requerir autenticación adicional al inicio» a través de Microsoft Intune o Políticas de grupo y asegurarse de que «Configurar PIN de inicio de TPM» esté configurado en «Requerir PIN de inicio con TPM».

Un investigador anónimo de ciberseguridad que reveló tres vulnerabilidades de Microsoft Defender regresó con dos días cero más que involucran una omisión de BitLocker y una escalada de privilegios que afectan el Marco de traducción colaborativa de Windows (CTFMON).

El defectos de seguridad han sido nombrados en código llave amarilla y plasma verderespectivamente, por el investigador, que utiliza los alias en línea Chaotic Eclipse y Nightmare-Eclipse.

El investigador describió llave amarilla como «uno de los descubrimientos más locos que he encontrado», comparando la derivación de BitLocker con el funcionamiento de una puerta trasera, ya que el error sólo está presente en el entorno de recuperación de Windows (WinRE), un marco integrado diseñado para solucionar y reparar problemas comunes del sistema operativo que no arranca.

YellowKey afecta a Windows 11 y Windows Server 2022/2025. En un nivel alto, implica copiar archivos «FsTx» especialmente diseñados en una unidad USB o en la partición EFI, conectar la unidad USB a la computadora Windows de destino con las protecciones BitLocker activadas, reiniciar en WinRE y activar un shell manteniendo presionada la tecla CTRL.

«Creo que incluso MSRC tardará un tiempo en encontrar la verdadera causa raíz del problema. Simplemente nunca logré entender por qué esta vulnerabilidad está tan bien oculta», afirma el investigador. explicado. «Lo segundo es que no, TPM+PIN no ayuda, el problema aún se puede explotar de todos modos».

El investigador de seguridad Will Dormann, en un correo compartido en Mastodon, dijo: «Pude reproducir [YellowKey] con una unidad USB conectada», y agrega, «parece que los bits NTFS transaccionales en una unidad USB pueden eliminar el archivo winpeshl.ini en OTRA UNIDAD (X:). Y obtenemos un mensaje de cmd.exe, con BitLocker desbloqueado en lugar del entorno de recuperación de Windows esperado».

«Mientras el BitLocker solo para TPM bypass es realmente interesante, creo que la pista oculta aquí es que un directorio \System Volume Information\FsTx en un volumen tiene la capacidad de modificar el contenido de otro volumen cuando se reproduce», señaló Dormann. «Para mí, esto en sí mismo suena como una vulnerabilidad».

La segunda vulnerabilidad señalada por Chaotic Eclipse es un caso de seguridad de escalada de privilegios que podría explotarse para obtener un shell con permisos de SISTEMA. Surge como resultado de lo que se ha descrito como creación de secciones arbitrarias CTFMON de Windows.

La prueba de concepto (PoC) publicada está incompleta y carece del código necesario para obtener un shell del SISTEMA completo. En su forma actual, el exploit puede permitir a un usuario sin privilegios crear objetos de sección de memoria arbitrarios dentro de objetos de directorio que pueden ser escritos por el SISTEMA, permitiendo potencialmente la manipulación de servicios privilegiados o controladores que implícitamente confían en esas rutas, ya que un usuario estándar no tiene acceso de escritura a las ubicaciones.

El desarrollo se produce casi un mes después de que el investigador publicó tres días cero de Defender denominados BlueHammer, RedSun y UnDefend después de supuestamente expresar su insatisfacción con el manejo por parte de Microsoft del proceso de divulgación de vulnerabilidades. Desde entonces, las deficiencias han sido objeto de explotación activa en la naturaleza.

Si bien a BlueHammer se le asignó oficialmente el identificador CVE-2026-33825 y Microsoft lo parchó el mes pasado, Chaotic Eclipse dijo que el gigante tecnológico parece haberse dirigido «silenciosamente» a RedSun sin emitir ningún aviso.

«Espero que al menos intentes resolver la situación de manera responsable. No estoy seguro de qué tipo de reacción esperabas de mí cuando echaste más leña al fuego después de BlueHammer», dijo el investigador. «El fuego durará todo el tiempo que quieras, a menos que lo apagues o hasta que no quede nada que quemar.»

Chaotic Eclipse también prometió una «gran sorpresa» para Microsoft, coincidiendo con el próximo lanzamiento del Patch Tuesday en junio de 2026.

Cuando se le contactó para hacer comentarios, un portavoz de Microsoft había dicho previamente a The Hacker News que «tiene el compromiso del cliente de investigar los problemas de seguridad reportados y actualizar los dispositivos afectados para proteger a los clientes lo antes posible», y que apoya la divulgación coordinada de vulnerabilidades, lo que, según la compañía, «ayuda a garantizar que los problemas se investiguen y aborden cuidadosamente antes de la divulgación pública».

Se descubre un ataque de degradación de BitLocker

El desarrollo se produce cuando la empresa francesa de ciberseguridad Intrinsec detalló un cadena de ataque contra BitLocker que aprovecha una degradación del administrador de arranque al explotar CVE-2025-48804 (puntuación CVSS: 6,8) para evitar la protección de cifrado en sistemas Windows 11 completamente parcheados en menos de cinco minutos.

«El principio es el siguiente: el administrador de arranque carga el archivo de imagen de implementación del sistema (SDI) y el WIM al que hace referencia, y verifica la integridad del WIM legítimo», Intrinsec dicho.

«Sin embargo, cuando se agrega un segundo WIM al SDI con una tabla de blobs modificada, el administrador de arranque verifica el primer WIM (legítimo) mientras arranca simultáneamente desde el segundo (controlado por el atacante). Este segundo WIM contiene una imagen de WinRE infectada con ‘cmd.exe’, que se ejecuta con el volumen BitLocker descifrado».

Si bien las correcciones publicadas por Microsoft en julio de 2025 solucionaron este defecto de seguridad en julio de 2025, el investigador de seguridad Cassius Garat dijo que el problema radica en el hecho de que Secure Boot solo verifica el certificado de firma de un binario, no su versión. Como resultado, se puede utilizar una versión vulnerable de «bootmgfw.efi» que no contiene el parche y está firmada con el certificado PCA 2011 confiable para eludir las salvaguardas de BitLocker.

Vale la pena señalar que Microsoft planea retirar los antiguos certificados PCA 2011 el próximo mes. «Y siempre que no se revoque, incluso un administrador de arranque antiguo y vulnerable se puede cargar sin generar una alerta», señaló Intrinsec. Para llevar a cabo el ataque, un mal actor necesita tener acceso físico a la máquina objetivo.

Para contrarrestar el riesgo, es esencial habilitar una PIN de BitLocker al inicio para autenticación previa al arranque y migrar el administrador de arranque al Certificado CA 2023 y revocar el antiguo certificado PCA 2011.