La sicurezza di BitLocker è finita di nuovo sotto i riflettori. Stavolta il motivo ha un nome preciso: YellowKey, uno zero day che permette di accedere a volumi cifrati sfruttando l’ambiente di ripristino di Windows, noto come WinRE (Windows Recovery Environment), insieme ad alcuni file preparati ad hoc. Microsoft ha confermato l’esistenza del problema, gli ha assegnato l’identificativo CVE-2026-45585 e ha pubblicato una serie di contromisure temporanee, in attesa di una patch definitiva vera e propria.
Vale la pena chiarire subito un punto: l’azienda di Redmond non parla di una compromissione della crittografia BitLocker in senso stretto. CVE-2026-45585 viene descritto piuttosto come un bypass delle funzionalità di sicurezza legate alla protezione del volume cifrato. Che non è esattamente la stessa cosa, ma resta comunque un problema serio. Soprattutto per chi utilizza Windows 11 o Windows Server 2022/2025 con configurazioni TPM only, cioè senza alcuna forma di autenticazione aggiuntiva al momento dell’avvio.
Il fulcro della falla YellowKey ruota attorno a un file chiamato autofstx.exe, un componente integrato nell’ambiente di ripristino WinRE. Il suo compito, in condizioni normali, è occuparsi di ripristinare e completare le transazioni del file system NTFS rimaste in sospeso dopo errori o arresti improvvisi. YellowKey sfrutta proprio il comportamento automatico di questo componente durante l’avvio dell’ambiente di recovery. Ed è per questo che Microsoft chiede agli amministratori di intervenire direttamente sull’immagine WinRE installata su ogni sistema.
La procedura per neutralizzare il problema
La mitigazione indicata da Microsoft prevede di montare offline l’immagine recovery, caricare il relativo hive SYSTEM e rimuovere la voce autofstx.exe dal registro dell’ambiente di ripristino. In pratica, bisogna creare una directory temporanea, montare l’immagine recovery locale al suo interno, poi caricare il registro dell’immagine WinRE. Una volta aperto l’hive offline, si interviene sulla chiave relativa al Session Manager: dal valore multi stringa BootExecute va eliminata la voce autofstx.exe. Questo impedisce l’esecuzione automatica della FsTx Auto Recovery Utility all’avvio di WinRE.
Dopo la modifica, si salva l’hive del registro e si aggiorna l’immagine WinRE. Microsoft insiste anche su un passaggio ulteriore che non va trascurato: la ricostruzione del rapporto di fiducia fra BitLocker e l’ambiente di recovery, tramite la disabilitazione e riabilitazione di quest’ultimo. Il doppio comando forza la rigenerazione delle configurazioni WinRE e aggiorna gli elementi usati da BitLocker per validare l’ambiente di recovery durante il boot.
Perché Microsoft spinge verso la configurazione TPM+PIN
La parte forse più significativa di tutto il bollettino riguarda la protezione pre boot. Microsoft lascia intendere in modo piuttosto chiaro che la configurazione TPM only rappresenta il vero anello debole quando qualcuno ha accesso fisico al dispositivo. Funziona così: quando BitLocker usa soltanto il TPM, il sistema sblocca automaticamente il volume durante l’avvio, a patto che la piattaforma risulti integra. YellowKey sfrutta proprio quel momento. Se invece viene configurato un PIN pre boot, il TPM da solo non basta più a ottenere la chiave di decrittazione.
Per attivare la protezione TPM+PIN sui sistemi già cifrati, Microsoft propone tre strade. La prima passa da PowerShell con privilegi amministrativi, aggiungendo un nuovo protector BitLocker associato a TPM e PIN. La seconda utilizza lo storico strumento manage bde. La terza è una procedura grafica accessibile dal Pannello di controllo di Windows 11, cercando “Gestione BitLocker” e selezionando l’opzione per cambiare il metodo di sblocco all’avvio.
C’è però un elemento che aggiunge un po’ di inquietudine alla vicenda. Il ricercatore noto come Nightmare Eclipse, che ha scoperto YellowKey e altre vulnerabilità, sostiene di aver già sviluppato una variante capace di aggirare anche la configurazione TPM+PIN. Al momento, però, non esistono proof of concept pubblici completi né analisi indipendenti che confermino un bypass totale di BitLocker con TPM+PIN. Diversi specialisti fanno notare che la protezione coinvolge meccanismi TPM come PolicyAuthValue, anti hammering hardware e derivazione intermedia delle chiavi, elementi che rendono molto difficile un bypass puramente software senza conoscere il codice corretto.
