Если вы считали, что ваши зашифрованные диски Windows под защитой BitLocker абсолютно неприступны, новость о CVE-2026-45585 заставит пересмотреть эту уверенность. Microsoft подтвердила существование уязвимости обхода функции безопасности в Windows, получившей публичное название YellowKey. Она позволяет злоумышленнику с физическим доступом к устройству получить полный доступ к данным, которые BitLocker должен защищать. Проблема затрагивает актуальные версии Windows 11 (сборки 24H2, 25H2 и 26H1) и Windows Server 2025, причем не только полные установки, но и конфигурации Server Core.
Уязвимость CVE-2026-45585 (YellowKey)
Самое тревожное - это не ошибка в самом алгоритме шифрования. Уязвимость лежит в среде восстановления Windows (WinRE, среда восстановления Windows), которая окружает BitLocker. В WinRE используется компонент autofstx.exe, который при загрузке автоматически разблокирует зашифрованные тома. Исследователи выяснили, что в процедуре обработки команд внутри WinRE присутствует недостаток нейтрализации специальных элементов (CWE-77 - Command Injection). Проще говоря, злоумышленник может внедрить в процесс загрузки среды восстановления произвольные команды и заставить систему передать ему ключи расшифровки. Доказательство концепции (Proof of Concept) уже опубликовано в открытом доступе, что нарушает общепринятые практики координированного раскрытия уязвимостей. К счастью, на момент публикации Microsoft не подтверждает активной эксплуатации в дикой природе, но оценка вероятности эксплуатации со стороны компании - "высокая".
Уязвимости присвоен идентификатор CVE-2026-45585 и рейтинг 6,8 балла по шкале CVSS v3.1. Вектор атаки - физический, сложность атаки низкая, и для её проведения не требуются ни привилегии, ни взаимодействие с пользователем. При успешной реализации нарушитель получает не просто чтение файлов - он полностью компрометирует конфиденциальность, целостность и доступность данных. Для типовой корпоративной среды, где ноутбуки с BitLocker повсеместно используются на выезде или в местах с ограниченным контролем, такой вектор представляет серьёзную угрозу. Финансовый ущерб может включать утечку коммерческой тайны, персональных данных, а также затраты на криминалистику и уведомление регуляторов.
Microsoft пока не выпустила постоянного исправления - обновление безопасности находится в разработке. Вместо этого корпорация опубликовала временные меры защиты, которые можно применить уже сейчас. Основных подходов два.
Первый способ - модифицировать образ среды восстановления Windows на каждом устройстве, удалив из него автозагрузку autofstx.exe. Для этого администраторам нужно выполнить последовательность команд из командной строки с повышенными привилегиями.
Второй, более простой для обычных пользователей способ - установить PIN-код для запуска BitLocker. Если ранее устройство использовало только доверенный платформенный модуль (TPM) для автоматической разблокировки, теперь требуется ввод PIN при загрузке.
Оба метода требуют вмешательства: первый - для системных администраторов с централизованным управлением, второй - для конечных пользователей, способных выполнить несколько простых шагов. Для устройств, которые ещё не зашифрованы, Microsoft рекомендует при настройке BitLocker сразу включать требование PIN. Это можно сделать как через Microsoft Intune в конфигурации параметров TPM, так и через групповые политики.
Последствия этой уязвимости особенно серьёзны для организаций, которые полагаются на BitLocker как на единственную защиту данных на выездных устройствах. Физическая кража ноутбука, потеря или изъятие могут привести к полной компрометации данных, если злоумышленник загрузит среду восстановления с вредоносным кодом. Поскольку уязвимость затрагивает не только Windows 11, но и Windows Server 2025, критически важно проверить все серверные системы, особенно те, которые используются в качестве хранилищ с шифрованием.
Рекомендую всем ИБ-специалистам, ответственным за защиту конечных точек, как можно скорее ознакомиться с официальным бюллетенем Microsoft и применить одну из описанных временных мер. Хотя постоянное обновление обещано, до его выхода шифрование, подкреплённое только TPM, больше нельзя считать достаточной защитой. Добавление PIN-кода займет всего несколько минут, но может предотвратить утечку, которая обойдется компании в миллионы.
Ссылки
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45585
- https://www.cve.org/CVERecord?id=CVE-2026-45585
