YellowKey:Windows BitLocker 绕过零日漏洞分析

一、漏洞概述

YellowKey 是 2026 年 5 月披露的一个 Critical BitLocker 绕过零日漏洞,由安全研究者 Chaotic Eclipse(GitHub 用户名 Nightmare-Eclipse)公开发布。

该漏洞允许攻击者仅通过一个 U 盘就能读取 BitLocker 加密的磁盘数据,无需知道任何密码或 PIN。

CVE 编号: CVE-2026-45585
CVSS 评分: 6.8
漏洞类型: 安全功能绕过 (Security Feature Bypass)

二、影响范围

系统版本 状态
Windows 11 26H1 ✅ 受影响
Windows 11 Version 24H2 ✅ 受影响
Windows 11 Version 25H2 ✅ 受影响
Windows Server 2025 ✅ 受影响
Windows Server 2022 ✅ 受影响
Windows 10 ❌ 不受影响

文件系统: NTFS、FAT32、exFAT

三、漏洞原理

YellowKey 利用了 Windows 恢复环境 (WinRE) 的一个设计缺陷:

  1. WinRE 启动时会检查外接存储设备上的 System Volume Information\FsTx 目录
  2. Windows 会自动重放该目录中的 NTFS 事务日志
  3. 攻击者精心构造的事务日志会删除 winpeshl.ini 文件
  4. WinRE 找不到正常的启动配置,回退到以 cmd.exe 启动
  5. 攻击者获得一个拥有完全访问权限的命令行窗口

“By the time the shell appears, the operating volume has already been transparently decrypted by the TPM, meaning the attacker inherits a fully readable filesystem with administrative tooling in hand.”

— Eclypsium Research

四、攻击步骤

攻击前提

  • 需要物理接触目标设备
  • 目标使用默认 TPM-only 保护的 BitLocker(无 PIN)

攻击流程

1
2
3
4
5
6
7
8
1. 准备一个 U 盘
2. 在 U 盘的 System Volume Information 目录下创建 FsTx 文件夹
3. 放入恶意构造的 NTFS 事务日志文件
4. 将 U 盘插入目标电脑
5. 按住 CTRL 键,同时执行 SHIFT + 重启 进入 WinRE
6. 系统启动时,继续按住 CTRL 键
7. 弹出具有完全访问权限的命令行窗口
8. 攻击者可以读取任意加密数据

五、关键警告:PIN 绕过版本存在

研究者 Chaotic Eclipse 明确表示:

“I’ve built and tested a variant that also neutralizes PIN protection and deliberately chose not to release it.”

这意味着:

  • 当前公开的版本无法绕过 TPM+PIN
  • 但 PIN 绕过的漏洞利用代码已经存在,只是未公开
  • TPM+PIN 不应被视为绝对安全

六、研究者与微软的恩怨

Chaotic Eclipse 与 Microsoft 安全响应中心 (MSRC) 之间存在激烈的公开冲突,这也是导致其连续公布多个零日漏洞的直接原因。

冲突起因

根据研究者博客及多家安全媒体报道,Chaotic Eclipse 早在 2026 年 4 月就开始向 MSRC 报告漏洞,但据称未获得应有的重视和 CVE 编号认可。更让其不满的是,当其他安全研究者(Zen Dodd 和 Yuanpei Xu)提交了类似的 Defender 漏洞后,微软将 CVE credit 给了后者,而非 Chaotic Eclipse。

Chaotic Eclipse 在博客中表达了对微软漏洞处理流程的强烈不满,指责 MSRC 响应不及时、对其报告的漏洞置之不理。

“七月份会有更狠的”

在 2026 年 5 月的博客文章(标题为 “July 14th”)中,Chaotic Eclipse 直接对话微软,措辞十分激烈。据搜索到的信息显示,他在博客中暗示:

7月14日将发布"更重大的东西"(something bigger)

这句话被多家媒体解读为:研究者可能会在 7 月 14 日公布一个更具破坏性的漏洞,或将是其"零日爆炸"系列的巅峰之作

截至目前(2026年5月),尚不确定 7 月 14 日具体会公布什么,但安全社区普遍预期这将是一个新的 Windows 核心组件漏洞更具影响力的攻击链

公开的零日漏洞列表(截至2026年5月)

漏洞名称 类型 发布时间 状态
BlueHammer 本地权限提升 (LPE) 2026年4月 已公开 PoC
RedSun Windows Defender 绕过 2026年4月 已公开 PoC
UnDefend Windows Defender 绕过 2026年4月 已公开 PoC
YellowKey BitLocker 绕过 2026年5月 已公开 PoC
GreenPlasma 权限提升 2026年5月 已公开 PoC
MiniPlasma 本地权限提升 (CVE-2020-17103) 2026年5月 已公开 PoC

📌 注意:GitHub 已封禁 Nightmare-Eclipse 的账户,但其后续将漏洞代码迁移到了 GitLab。

七、官方回应

  • Microsoft: 已发布缓解指南,承认漏洞存在
  • 补丁状态: 截至目前(2026年5月)尚未发布官方安全更新
  • MSRC 公告: CVE-2026-45585

八、总结

YellowKey 是一个严重的物理访问类漏洞,虽然需要直接接触设备,但在笔记本被盗等场景下危害极大。

与此同时,安全社区正在密切关注 7 月 14 日的动态——Chaotic Eclipse 届时可能公布更具破坏性的漏洞利用。建议:

  1. 尽快启用 TPM+PIN 保护(如果当前公开版本仍有效)
  2. 加强物理安全管理
  3. 持续关注微软官方补丁更新
  4. 留意 7 月 14 日的后续动态

参考来源