Notebookcheck Logo

Microsoft mildrar YellowKey BitLocker-bypass, ingen patch ännu

Figur med huva vid en installation med flera skärmar som kör en cyberattack.
ⓘ Magnific.com/author/dcstudio
Figur med huva vid en installation med flera skärmar som kör en cyberattack.
Microsoft har släppt åtgärder för YellowKey (CVE-2026-45585), ett BitLocker-bypass som ger fysiska angripare tillgång till krypterade Windows-enheter.
Windows Software Security Microsoft Laptop / Notebook Desktop

Microsoft har släppt riktlinjer för att minska riskerna med YellowKey, den offentligt avslöjade förbikopplingen av BitLocker som nu spåras som CVE-2026-45585, efter att ett fungerande proof of concept publicerats utan samordnat offentliggörande. Ingen fullständig säkerhetsuppdatering är tillgänglig ännu. Företaget bekräftade att det arbetar på en permanent lösning och uppmanar administratörer i berörda Windows-versioner att tillämpa de tillfälliga stegen omedelbart.

Vad begränsningen gör

Exploateringen fungerar genom att radera winpeshl.ini via Transactional NTFS (TxF)vilket gör att WinRE-återställningsmiljön skapar ett obegränsat skal istället för att ladda standardåterställningsgränssnittet. Därifrån får en angripare med fysisk åtkomst full, okrypterad insyn i enhetens innehåll, vilket inte kräver några referenser, programvaruinstallation eller nätverksanslutning.

Microsofts begränsning hanterar problemet genom att inaktivera autofstx.exe, FsTx Auto Recovery Utility, i WinRE-imagen. Administratörer måste montera WinRE-avbildningen på varje berörd enhet, ladda systemregistrets hive och ta bort autofstx.exe-posten från Session Manager's BootExecute-värde. Microsoft rekommenderar också att högrisk-enheter flyttas från TPM-only BitLocker till TPM+PIN-läge, vilket gör fysisk exploatering mycket svårare.

Detta är en lösning, inte en patch. Microsoft har inte bekräftat när en fullständig uppdatering kommer att anlända. Tills den gör det är alla maskiner som kör en påverkad Windows-version med en USB-port och möjligheten att starta om till återställningsläge ett genomförbart mål för alla som har den offentligt tillgängliga exploateringskoden.

Berörda system och vad administratörer bör göra nu

CVE-2026-45585 har en CVSS-poäng på 6,8 och kräver fysisk åtkomst, men Microsoft bedömer utnyttjandet som "Mer sannolikt" med tanke på att konceptbeviset redan är offentligt. Microsofts råd fokuserar på Windows 11 24H2, 25H2 och 26H1 på x64-system, tillsammans med Windows Server 2025 och Windows Server 2025 Server Core. Windows 10 upplever inte problem på grund av skillnader i WinRE-konfigurationen. Offentliga tekniska analyser flaggar också Windows Server 2022 som potentiellt sårbart under specifika distributionsförhållanden via samma WinRE-återställningsvägfel, även om Microsoft ännu inte har tagit upp det formellt i sin rådgivning.

Forskaren bakom exploateringen, känd som Nightmare-Eclipse, släppte den offentligt innan Microsoft hade utfärdat någon vägledning. Microsoft kallade händelsen ett brott mot samordnade metoder för avslöjande av sårbarheter.

Google LogoAdd as a preferred source on Google
Mail Logo

Relaterade artiklar

> Bärbara datorer, laptops - tester och nyheter > Nyheter > Nyhetsarkiv > Nyhetsarkiv 2026 05 > Microsoft mildrar YellowKey BitLocker-bypass, ingen patch ännu
Darryl Linington, 2026-05-21 (Update: 2026-05-21)