Seguir 
O BitLocker é projetado para proteger dados em repouso, mesmo quando um dispositivo é perdido, roubado ou desligado, e é por isso que uma violação desse modelo de confiança chama atenção imediata. A vulnerabilidade CVE-2026-45585, denominada publicamente como YellowKey, é uma falha de desvio de recurso de segurança do Windows que, segundo a Microsoft, pode permitir que um invasor com acesso físico contorne as proteções do BitLocker e acesse dados criptografados em sistemas afetados. O problema é rastreado com uma pontuação CVSS de 6.8 e impacta as versões do Windows 11 24H2, 25H2 e 26H1 para sistemas baseados em x64, assim como o Windows Server 2025, incluindo o Server Core.
Para os defensores iniciando a análise da CVE-2026-45585, o ponto mais importante é que a fraqueza não está na criptografia do BitLocker em si. A Help Net Security, citando o NCSC dos Países Baixos, observa que a falha reside no ambiente de recuperação ao redor do BitLocker, e não na criptografia que protege a unidade. Relatórios públicos também dizem que um pesquisador conhecido como Nightmare Eclipse divulgou o zero-day e lançou uma prova de conceito, que tanto a Help Net Security quanto o The Hacker News afirmam que pode ser facilmente aproveitada.
Análise da CVE-2026-45585
A CVE-2026-45585 é explorada através do Ambiente de Recuperação do Windows, em vez de um caminho de ataque remoto. De acordo com o The Hacker News, o ataque envolve colocar arquivos FsTx especialmente criados em uma unidade USB ou partição EFI, conectar a mídia a um sistema Windows de destino com BitLocker ativado, reiniciar no WinRE e acionar um shell irrestrito segurando a tecla CTRL. Se bem-sucedido, o invasor ganha acesso ao volume protegido pelo BitLocker durante a sequência de recuperação pré-inicialização.
Em termos práticos, o CVE-2026-45585 publicado não é um disseminador de malware tradicional, mas uma configuração maliciosa de sequência de recuperação que abusa do comportamento de pré-inicialização confiável. Isso também explica por que os detalhes públicos da CVE-2026-45585 são tão importantes operacionalmente: qualquer máquina afetada com uma porta USB ou caminho EFI acessível e uma chance de ser reiniciada pode se tornar um alvo se um invasor puder manusear fisicamente o dispositivo. O PoC público da CVE-2026-45585 já reduziu a barreira para replicação.
Do ponto de vista de monitoramento, a detecção da CVE-2026-45585 é mais desafiadora do que para vulnerabilidades transmitidas por rede, pois o exploit é local e pré-inicialização. Não há IOCS da CVE-2026-45585 publicadas pelos fornecedores nos relatórios citados, portanto, a forma mais realista de detectar a exposição à CVE-2026-45585 é através da revisão de ativos: identificar sistemas Windows 11 e Windows Server 2025 afetados, determinar se eles dependem apenas da proteção BitLocker por TPM e verificar se a mitigação temporária da Microsoft foi aplicada à imagem WinRE.
Sob a perspectiva de exposição, a CVE-2026-45585 afeta organizações que dependem do BitLocker para proteger laptops desatendidos, estações de trabalho móveis ou servidores portáteis contra acesso offline após roubo ou acesso físico temporário. Como a falha contorna um recurso de segurança em vez de quebrar a criptografia em si, o principal risco é a perda de confidencialidade quando um invasor pode alcançar o fluxo de recuperação antes que o usuário legítimo recupere o controle do dispositivo.
Mitigação da CVE-2026-45585
A orientação atual de mitigação da CVE-2026-45585 da Microsoft oferece dois caminhos principais. O primeiro é modificar a imagem montada do WinRE removendo o autofstx.exe do valor REG_MULTI_SZ do BootExecute do Gerenciador de Sessão, depois salvar as alterações do registro offline, desmontar e confirmar a imagem atualizada, e restabelecer a confiança do BitLocker para o WinRE. O The Hacker News diz que a Microsoft posteriormente complementou o aviso com um script que automatiza esse fluxo de trabalho de forma segura montando o WinRE, editando o hive SYSTEM offline, removendo a entrada se presente, e selando novamente o WinRE para que a confiança do BitLocker permaneça intacta.
O segundo caminho de mitigação é mover os dispositivos para longe da proteção apenas por TPM e exigir TPM+PIN na inicialização. A Microsoft diz que isso pode ser feito em sistemas já criptografados através do PowerShell, linha de comando ou Painel de Controle. Para sistemas que ainda não estão criptografados, os administradores são aconselhados a habilitar Requerer autenticação adicional na inicialização através de Política de Grupo ou Intune e configurar o PIN de inicialização com o TPM. A Help Net Security observa que os pesquisadores acreditam que a primeira mitigação é eficaz porque impede que o Utilitário de Recuperação Automática do FsTx seja lançado automaticamente quando o WinRE é iniciado, embora um pesquisador também tenha afirmado que um desvio separado para TPM+PIN está sendo retido por agora.
FAQ
O que é a CVE-2026-45585 e como ela funciona?
A CVE-2026-45585 é uma falha de desvio de recurso de segurança do BitLocker no Windows, também chamada de YellowKey. Ela funciona abusando do comportamento confiável no Ambiente de Recuperação do Windows para que um invasor com acesso físico possa acionar um shell irrestrito e acessar o volume criptografado durante a recuperação pré-inicialização.
Quando a CVE-2026-45585 foi descoberta pela primeira vez?
Os dois relatórios citados não divulgam uma data de descoberta privada. Publicamente, a Help Net Security diz que o zero-day foi divulgado cerca de uma semana antes da mitigação da Microsoft, e ambos os relatórios situam o lançamento da mitigação da Microsoft em 20 de maio de 2026, com um script adicional atualizado observado pela Help Net Security em 21 de maio de 2026.
Qual é o impacto da CVE-2026-45585 nos sistemas?
O principal impacto é o acesso não autorizado aos dados protegidos pelo BitLocker. Um ataque bem-sucedido pode permitir que alguém com acesso físico contorne a proteção em torno da unidade criptografada e leia dados que deveriam permanecer protegidos em repouso.
A CVE-2026-45585 ainda pode me afetar em 2026?
Sim. Sistemas executando as versões afetadas do Windows 11 e Windows Server 2025 ainda podem estar expostos em 2026 se não tiverem aplicado a mitigação da Microsoft e ainda dependerem do comportamento de recuperação vulnerável, especialmente onde o acesso físico não pode ser controlado rigidamente.
Como posso me proteger da CVE-2026-45585?
Aplique a mitigação do WinRE da Microsoft removendo o autofstx.exe da configuração offline do BootExecute e restaurando a confiança do BitLocker, ou exija TPM+PIN em vez de proteção apenas por TPM na inicialização. Para novas implantações, habilite autenticação adicional na inicialização através da política para que o BitLocker não dependa do caminho padrão mais fraco sozinho.
