Стежити 
BitLocker призначений для захисту даних у стані спокою навіть тоді, коли пристрій втрачено, викрадено або вимкнено, тому обхід цієї моделі довіри привертає негайну увагу. Уразливість CVE-2026-45585, публічно відома як YellowKey, є помилкою обходу функції безпеки Windows, яка, згідно з заявами Microsoft, дозволяє атакуючому з фізичним доступом обійти захист BitLocker і отримати доступ до зашифрованих даних на уражених системах. Проблема відстежується з балом CVSS 6.8 і впливає на версії Windows 11 24H2, 25H2 і 26H1 для систем на архітектурі x64, а також на Windows Server 2025, включаючи Server Core.
Для захисників, які починають аналіз уразливості CVE-2026-45585, найважливіше розуміння, що слабкість не знаходиться в самому шифруванні BitLocker. Help Net Security, цитуючи NCSC Netherlands, зазначає, що дефект знаходиться в середовищі відновлення навколо BitLocker, а не в криптографії, яка захищає диск. Також у публічних звітах говориться, що дослідник, відомий як Nightmare Eclipse, розкрив нульовий день і випустив доказ концепції, який, за словами Help Net Security і The Hacker News, може бути легко використаний.
Аналіз CVE-2026-45585
CVE-2026-45585 експлуатується через середовище відновлення Windows, а не через віддалений шлях атаки. За словами The Hacker News, атака включає розміщення спеціально підготовлених файлів FsTx на USB-накопичувачі або розділі EFI, підключення носія до цільової системи Windows з увімкненим BitLocker, перезавантаження у WinRE та виклик необмеженого оболонки, натиснувши клавішу CTRL. Якщо атака успішна, зловмисник отримує доступ до захищеного обсягу BitLocker під час послідовності попереднього завантаження.
У практичному сенсі, опублікована CVE-2026-45585 не є традиційним дроппером шкідливого ПЗ, а злостивим налаштуванням послідовності відновлення, яке зловживає довіреною поведінкою перед завантаженням. Тому публічні деталі CVE-2026-45585 мають велику практичну важливість: будь-яка уражена машина з доступним USB-портом або шляхом EFI та можливістю перезавантаження може стати ціллю, якщо атакуючий може фізично керувати пристроєм. Публічний доказ концепції CVE-2026-45585 вже знизив бар’єр для його відтворення.
З точки зору моніторингу, виявлення CVE-2026-45585 є складнішим, ніж для уразливостей, що передаються по мережі, тому що експлойт локальний і передзавантажувальний. У наведених звітах немає вказівок на CVE-2026-45585, опублікованих постачальниками, тому найбільш реалістичним способом виявлення впливу CVE-2026-45585 є огляд активів: ідентифікуйте уражені системи Windows 11 та Windows Server 2025, визначте, чи використовують вони захист BitLocker лише на основі TPM, та перевірте, чи застосовано тимчасове пом’якшення Microsoft до образу WinRE.
З точки зору експозиції, CVE-2026-45585 впливає на організації, які залежать від BitLocker для захисту ноутбуків без нагляду, мобільних робочих станцій або портативних серверів від автономного доступу після крадіжки або тимчасового фізичного доступу. Оскільки дефект обходить функцію безпеки, а не порушує само шифрування, головний ризик полягає у втраті конфіденційності, коли атакуючий може дійти до процесу відновлення, перш ніж законний користувач поверне контроль над пристроєм.
Пом’якшення CVE-2026-45585
Поточні рекомендації Microsoft щодо пом’якшення CVE-2026-45585 пропонують два основні шляхи. Перший – змінити підключений образ WinRE шляхом видалення autofstx.exe з значення BootExecute REG_MULTI_SZ менеджера сеансу, потім зберегти зміни офлайн реєстру, відмонтувати та зафіксувати оновлений образ, і відновити довіру BitLocker для WinRE. The Hacker News повідомляє, що Microsoft пізніше доповнила рекомендацію скриптом, який автоматично виконує цю процедуру безпечно шляхом монтування WinRE, редагування офлайн-вулик SYSTEM, видалення запису, якщо він присутній, і повторного запечатування WinRE, щоб довіра BitLocker залишалася непорушеною.
Другий шлях пом’якшення полягає у переведенні пристроїв з захисту лише TPM на вимогу TPM+PIN під час запуску. Microsoft каже, що це можна зробити на вже зашифрованих системах через PowerShell, командний рядок або Панель керування. Для систем, які ще не зашифровані, адміністраторам рекомендується увімкнути вимогу додаткової аутентифікації під час запуску через політики Group Policy або Intune і налаштувати PIN-код при запуску за допомогою TPM. Help Net Security зазначає, що дослідники вважають перше пом’якшення ефективним, оскільки воно запобігає автоматичному запуску утиліти Auto Recovery FsTx під час запуску WinRE, хоча один дослідник також стверджував, що окремий обхід для TPM+PIN тимчасово втримується.
FAQ
Що таке CVE-2026-45585 і як він працює?
CVE-2026-45585 – це обхід функції безпеки BitLocker у Windows, також відомий як YellowKey. Він працює, зловживаючи довіреною поведінкою у середовищі відновлення Windows, тому атакуючий з фізичним доступом може викликати необмежену оболонку і отримати доступ до зашифрованого обсягу під час передзавантажувального відновлення.
Коли вперше було виявлено CVE-2026-45585?
Два наведені звіти не розкривають дату приватного виявлення. Публічно, Help Net Security повідомляє, що нульовий день було розкрито приблизно за тиждень до пом’якшення Microsoft, і обидва звітують, що реліз пом’якшення Microsoft відбувся 20 травня 2026 року, з додатковим оновленням скрипта, зазначеним Help Net Security 21 травня 2026 року.
Який вплив CVE-2026-45585 на системи?
Основний вплив – несанкціонований доступ до даних, захищених BitLocker. Успішна атака може дозволити особі з фізичним доступом обійти захист навколо зашифрованого диска і прочитати дані, які повинні залишатися захищеними в стані спокою.
Чи може CVE-2026-45585 ще впливати на мене у 2026 році?
Так. Системи, що працюють на уражених збірках Windows 11 та Windows Server 2025, можуть залишитися відкритими у 2026 році, якщо не застосували пом’якшення Microsoft і продовжують покладатися на вразливу поведінку відновлення, особливо там, де фізичний доступ не може бути надійно контрольований.
Як я можу захистити себе від CVE-2026-45585?
Застосуйте пом’якшення WinRE від Microsoft, видаливши autofstx.exe з офлайн-налаштування BootExecute та відновивши довіру BitLocker, або вимагайте TPM+PIN замість захисту лише TPM під час запуску. Для нових впроваджень увімкніть додаткову аутентифікацію під час запуску через політику, щоб BitLocker не залишався залежним лише від слабшого дефолтного шляху.
