Segui 
BitLocker è progettato per proteggere i dati a riposo anche quando un dispositivo è perso, rubato o spento, motivo per cui un bypass contro quel modello di fiducia attira immediatamente l’attenzione. La vulnerabilità CVE-2026-45585, pubblicamente chiamata YellowKey, è un difetto di bypass delle funzionalità di sicurezza di Windows che, secondo Microsoft, può consentire a un attaccante con accesso fisico di aggirare le protezioni di BitLocker e accedere ai dati criptati sui sistemi interessati. Il problema è monitorato con un punteggio CVSS di 6.8 e influisce sulle versioni di Windows 11 24H2, 25H2 e 26H1 per sistemi basati su x64, oltre a Windows Server 2025, incluso Server Core.
Per i difensori che iniziano l’analisi di CVE-2026-45585, il punto più importante è che la debolezza non risiede nella cifra di BitLocker stessa. Help Net Security, citando l’NCSC dei Paesi Bassi, osserva che il difetto si trova nell’ambiente di ripristino circostante BitLocker piuttosto che nella crittografia che protegge l’unità. I report pubblici affermano anche che un ricercatore noto come Nightmare Eclipse ha divulgato il giorno zero e rilasciato una prova di concetto, che sia Help Net Security che The Hacker News affermano possa essere prontamente sfruttata.
Analisi CVE-2026-45585
CVE-2026-45585 viene sfruttato attraverso l’ambiente di ripristino di Windows piuttosto che attraverso un percorso di attacco remoto. Secondo The Hacker News, l’attacco coinvolge l’inserimento di file FsTx appositamente creati su un’unità USB o partizione EFI, la connessione del mezzo a un sistema Windows target con BitLocker abilitato, il riavvio in WinRE e il trigger di una shell non limitata premendo il tasto CTRL. Se riuscito, l’attaccante ottiene l’accesso al volume protetto da BitLocker durante la sequenza di recupero pre-boot.
In termini pratici, il CVE-2026-45585 pubblicato non è un classico malware dropper ma una configurazione di sequenza di ripristino malevola che abusa dei comportamenti di fiducia pre-boot. Questo è anche il motivo per cui i dettagli pubblici per CVE-2026-45585 contano così tanto operativamente: qualsiasi macchina interessata con una porta USB accessibile o percorso EFI e la possibilità di essere riavviata potrebbe diventare un obiettivo se un attaccante può maneggiare fisicamente il dispositivo. Il CVE-2026-45585 PoC pubblico ha già abbassato la soglia per la replica.
Da un punto di vista di monitoraggio, la rilevazione di CVE-2026-45585 è più impegnativa rispetto alle vulnerabilità trasmesse in rete perché l’exploit è locale e pre-boot. Nei report citati non ci sono IOC (Indicatori di Compromissione) di CVE-2026-45585 pubblicati da fornitori, quindi il modo più realistico per rilevare l’esposizione a CVE-2026-45585 è attraverso la revisione degli asset: identificare i sistemi Windows 11 e Windows Server 2025 interessati, determinare se si affidano alla protezione BitLocker solo TPM, e verificare se la mitigazione temporanea di Microsoft è stata applicata all’immagine WinRE.
Da una prospettiva di esposizione, CVE-2026-45585 riguarda le organizzazioni che dipendono da BitLocker per proteggere laptop incustoditi, workstation mobili o server portatili dall’accesso offline dopo furto o accesso fisico temporaneo. Poiché il difetto aggira una funzione di sicurezza piuttosto che rompere la crittografia stessa, il rischio principale è la perdita di confidenzialità quando un attaccante può raggiungere il flusso di lavoro di ripristino prima che l’utente legittimo riprenda il controllo del dispositivo.
Mitigazione CVE-2026-45585
La guida attuale di mitigazione CVE-2026-45585 di Microsoft offre due percorsi principali. Il primo è modificare l’immagine montata WinRE rimuovendo autofstx.exe dal valore Session Manager BootExecute REG_MULTI_SZ, quindi salvare le modifiche al registro offline, smontare e confermare l’immagine aggiornata, e ristabilire la fiducia BitLocker per WinRE. The Hacker News dice che Microsoft ha successivamente integrato l’advisory con uno script che automatizza in sicurezza questo flusso di lavoro montando WinRE, modificando l’hive SYSTEM offline, rimuovendo l’ingresso se presente, e risigillando WinRE in modo che la fiducia BitLocker rimanga intatta.
Il secondo percorso di mitigazione è spostare i dispositivi dalla protezione solo TPM e richiedere TPM+PIN all’avvio. Microsoft afferma che ciò può essere fatto su sistemi già crittati tramite PowerShell, la riga di comando o il Pannello di controllo. Per i sistemi non ancora crittati, si consiglia agli amministratori di abilitare Richiedi autenticazione aggiuntiva all’avvio tramite Group Policy o Intune e configurare il PIN di avvio con TPM. Help Net Security osserva che i ricercatori ritengono che la prima mitigazione sia efficace perché impedisce all’utility di auto-recupero FsTx di avviarsi automaticamente quando inizia WinRE, sebbene un ricercatore abbia anche affermato che un bypass separato per TPM+PIN è attualmente trattenuto.
FAQ
Cos’è CVE-2026-45585 e come funziona?
CVE-2026-45585 è un bypass delle funzionalità di sicurezza di BitLocker in Windows, anche chiamato YellowKey. Funziona abusando del comportamento di fiducia nell’ambiente di ripristino di Windows affinché un attaccante con accesso fisico possa attivare una shell non limitata e accedere al volume criptato durante il recupero pre-boot.
Quando è stato scoperto per la prima volta CVE-2026-45585?
I due report citati non divulgano una data di scoperta privata. Pubblicamente, Help Net Security afferma che il giorno zero è stato divulgato circa una settimana prima della mitigazione di Microsoft e entrambi i report posizionano il rilascio della mitigazione di Microsoft il 20 maggio 2026, con un ulteriore aggiornamento dello script notato da Help Net Security il 21 maggio 2026.
Qual è l’impatto di CVE-2026-45585 sui sistemi?
L’impatto principale è l’accesso non autorizzato ai dati protetti da BitLocker. Un attacco riuscito può consentire a qualcuno con accesso fisico di aggirare la protezione che circonda l’unità criptata e leggere dati che dovrebbero rimanere protetti a riposo.
CVE-2026-45585 può ancora riguardarmi nel 2026?
Sì. I sistemi che eseguono le build di Windows 11 e Windows Server 2025 interessate possono ancora essere esposti nel 2026 se non hanno applicato la mitigazione di Microsoft e ancora si affidano al comportamento di ripristino vulnerabile, specialmente dove l’accesso fisico non può essere strettamente controllato.
Come posso proteggermi da CVE-2026-45585?
Applica la mitigazione WinRE di Microsoft rimuovendo autofstx.exe dall’impostazione BootExecute offline e risigillando la fiducia BitLocker, o richiedi TPM+PIN invece della protezione solo TPM all’avvio. Per i nuovi deployment, abilita l’autenticazione aggiuntiva all’avvio tramite policy in modo che BitLocker non dipenda solo dal percorso predefinito più debole.
