Seguir 
BitLocker está diseñado para proteger los datos en reposo incluso cuando un dispositivo se pierde, es robado o se apaga, por lo que una vulneración de ese modelo de confianza atrae atención inmediata. La vulnerabilidad CVE-2026-45585, conocida públicamente como YellowKey, es una falla de omisión de característica de seguridad de Windows que, según Microsoft, puede permitir a un atacante con acceso físico eludir las protecciones de BitLocker y acceder a datos encriptados en sistemas afectados. El problema está catalogado con un puntaje CVSS de 6.8 y afecta a las versiones de Windows 11 24H2, 25H2 y 26H1 para sistemas basados en x64, así como a Windows Server 2025, incluyendo Server Core.
Para los defensores que inician el análisis de CVE-2026-45585, el punto más importante es que la debilidad no reside en la encriptación de BitLocker en sí misma. Help Net Security, citando al NCSC de los Países Bajos, nota que la falla reside en el entorno de recuperación que rodea a BitLocker en lugar de en la criptografía que protege el disco. Los informes públicos también dicen que un investigador conocido como Nightmare Eclipse reveló el día cero y publicó una prueba de concepto, que tanto Help Net Security como The Hacker News dicen que se puede aprovechar fácilmente.
Análisis de CVE-2026-45585
CVE-2026-45585 se explota a través del Entorno de Recuperación de Windows en lugar de a través de una ruta de ataque remoto. Según The Hacker News, el ataque implica colocar archivos FsTx especialmente diseñados en una unidad USB o partición EFI, conectar el medio a un sistema Windows de destino con BitLocker habilitado, reiniciar en WinRE y activar una shell no restringida manteniendo presionada la tecla CTRL. Si tiene éxito, el atacante obtiene acceso al volumen protegido por BitLocker durante la secuencia de recuperación previa al arranque.
En términos prácticos, la pública CVE-2026-45585 no es un dropper de malware tradicional sino una configuración maliciosa de secuencia de recuperación que abusa del comportamiento confiable previo al arranque. Esa es también la razón por la cual los detalles públicos de CVE-2026-45585 son tan relevantes operativamente: cualquier máquina afectada con un puerto USB o camino EFI accesible y una posibilidad de ser reiniciada podría convertirse en un objetivo si un atacante puede manejar físicamente el dispositivo. El CVE-2026-45585 PoC público ya ha reducido la barrera para la replicación.
Desde el punto de vista del monitoreo, la detección de CVE-2026-45585 es más desafiante que para las vulnerabilidades de red porque el exploit es local y previo al arranque. No hay IOCs de CVE-2026-45585 publicados por el proveedor en los informes citados, por lo que la forma más realista de detectar la exposición a CVE-2026-45585 es mediante la revisión de activos: identificar sistemas afectados de Windows 11 y Windows Server 2025, determinar si dependen únicamente de la protección BitLocker de TPM y verificar si la mitigación temporal de Microsoft se ha aplicado a la imagen WinRE.
Desde una perspectiva de exposición, CVE-2026-45585 afecta a organizaciones que dependen de BitLocker para proteger portátiles desatendidos, estaciones de trabajo móviles o servidores portátiles del acceso offline tras un robo o acceso físico temporal. Dado que la falla omite una característica de seguridad en lugar de romper la encriptación en sí, el principal riesgo es la pérdida de confidencialidad cuando un atacante puede alcanzar el flujo de trabajo de recuperación antes de que el usuario legítimo recupere el control del dispositivo.
Mitigación de CVE-2026-45585
La actual guía de mitigación de CVE-2026-45585 de Microsoft ofrece dos caminos principales. El primero es modificar la imagen montada de WinRE eliminando autofstx.exe del valor Session Manager BootExecute REG_MULTI_SZ, luego guardar los cambios del registro fuera de línea, desmontar y confirmar la imagen actualizada, y restablecer la confianza de BitLocker para WinRE. The Hacker News dice que Microsoft posteriormente complementó el aviso con un script que automatiza este flujo de trabajo de manera segura montando WinRE, editando el hive del SYSTEM fuera de línea, eliminando la entrada si está presente y re-sellando WinRE para que la confianza de BitLocker permanezca intacta.
La segunda vía de mitigación es mover los dispositivos de la protección solo TPM y requerir TPM+PIN al inicio. Microsoft dice que esto se puede hacer en sistemas ya encriptados a través de PowerShell, la línea de comandos o el Panel de Control. Para sistemas que aún no están encriptados, se aconseja a los administradores habilitar Requerir autenticación adicional al inicio a través de la Política de Grupo o Intune y configurar el PIN de inicio con TPM. Help Net Security nota que los investigadores creen que la primera mitigación es efectiva porque evita que la FsTx Auto Recovery Utility se inicie automáticamente cuando WinRE arranca, aunque un investigador también afirmó que se está reteniendo por ahora un bypass separado para TPM+PIN.
FAQ
¿Qué es CVE-2026-45585 y cómo funciona?
CVE-2026-45585 es una omisión de característica de seguridad de BitLocker en Windows, también llamada YellowKey. Funciona abusando del comportamiento confiable en el Entorno de Recuperación de Windows para que un atacante con acceso físico pueda activar una shell sin restricciones y acceder al volumen encriptado durante la recuperación previa al arranque.
¿Cuándo fue descubierto por primera vez CVE-2026-45585?
Los dos informes citados no divulgan una fecha de descubrimiento privado. Públicamente, Help Net Security dice que el día cero fue revelado aproximadamente una semana antes de la mitigación de Microsoft, y ambos informes ubican el lanzamiento de la mitigación de Microsoft el 20 de mayo de 2026, con una actualización adicional del script notada por Help Net Security el 21 de mayo de 2026.
¿Cuál es el impacto de CVE-2026-45585 en los sistemas?
El principal impacto es el acceso no autorizado a los datos protegidos por BitLocker. Un ataque exitoso puede permitir que alguien con acceso físico eluda la protección que rodea al disco encriptado y lea datos que deberían permanecer protegidos en reposo.
¿Puede CVE-2026-45585 afectarme todavía en 2026?
Sí. Los sistemas que ejecutan las versiones afectadas de Windows 11 y Windows Server 2025 pueden seguir expuestas en 2026 si no han aplicado la mitigación de Microsoft y aún dependen del comportamiento de recuperación vulnerable, especialmente donde el acceso físico no se puede controlar estrictamente.
¿Cómo puedo protegerme de CVE-2026-45585?
Aplique la mitigación WinRE de Microsoft eliminando autofstx.exe de la configuración de BootExecute fuera de línea y re-sellando la confianza de BitLocker, o requiera TPM+PIN en lugar de solo TPM para la protección de inicio. Para nuevos despliegues, habilite la autenticación adicional al inicio mediante política para que BitLocker no dependa únicamente del camino predeterminado más débil.
