Falla BitLocker: Microsoft corre ai ripari contro "YellowKey" in attesa della patch

Il colosso di Redmond ha rilasciato le prime linee guida ufficiali per arginare YellowKey (tracciata come CVE-2026-45585, con punteggio CVSS di 6.8). Si tratta di una pericolosa vulnerabilità zero-day che colpisce il sistema di cifratura BitLocker, permettendo a chiunque abbia un accesso fisico a un computer Windows di violare e leggere i dati protetti.

La falla è di dominio pubblico dalla scorsa settimana, da quando il ricercatore di sicurezza noto sul web come Chaotic Eclipse (o Nightmare Eclipse) ha pubblicato i dettagli tecnici dell'attacco e una prova pratica del suo funzionamento.

Come funziona l'exploit

Per compromettere il sistema, un malintenzionato deve semplicemente inserire una chiavetta USB o utilizzare una partizione EFI contenente specifici file FsTx modificati ad hoc, per poi forzare il riavvio della macchina all'interno dell'ambiente di ripristino di Windows (WinRE). A questo punto, il sistema non avvia la classica interfaccia di diagnostica, ma spalanca le porte a una riga di comando (prompt dei comandi) con l'unità BitLocker già completamente sbloccata e accessibile.

Microsoft ha confermato ufficialmente la gravità dello scenario, ammettendo che l'attacco è in grado di neutralizzare l'efficacia della crittografia del sistema operativo.

Le contromisure temporanee di Microsoft

In attesa che gli ingegneri software completino l'aggiornamento correttivo definitivo, l'azienda suggerisce agli amministratori di sistema di disabilitare l'esecuzione automatica dello strumento FsTx (autofstx.exe) dentro l'ambiente WinRE. L'operazione richiede la modifica manuale dell'immagine di ripristino, rimuovendo la stringa legata al file dalla chiave BootExecute nella sezione Session Manager.

In secondo luogo, la raccomandazione è quella di abbandonare la protezione BitLocker basata unicamente sul chip TPM, preferendo la combinazione TPM+PIN, che costringe a inserire un codice numerico a ogni avvio. Tuttavia, lo stesso scopritore del bug ha sollevato forti dubbi su quest'ultimo consiglio, dichiarando che YellowKey sarebbe in grado di aggirare anche la barriera del PIN.

Un problema strutturale nel File System?

Secondo l'analisi di Will Dormann, esperto di sicurezza presso i Tharros Labs, l'exploit sfrutta il meccanismo transazionale di NTFS (Transactional NTFS Replay) per cancellare il file winpeshl.ini, che regola l'avvio di WinRE. Il risultato è la comparsa del prompt con i privilegi amministrativi e il disco in chiaro.

Dormann ha espresso forte preoccupazione per il fatto che i dati presenti nella cartella System Volume Information\FsTx di una specifica partizione riescano a modificare i contenuti di un'altra area del disco durante la fase di riproduzione dei log. Questo comportamento anomalo potrebbe nascondere un difetto strutturale molto più profondo nella gestione delle transazioni NTFS di Windows.

Una protesta a suon di Zero-Day

YellowKey è solo l'ultimo di una serie di gravi problemi di sicurezza svelati di recente da Nightmare Eclipse. Tra questi figurano anche le vulnerabilità denominate BlueHammer (CVE-2026-33825), GreenPlasma, RedSun e UnDefend, alcune delle quali risulterebbero già attivamente sfruttate da cybercriminali in rete.

Il ricercatore ha confessato che la pubblicazione incontrollata di queste falle è una forma di protesta aperta contro i metodi del Microsoft Security Response Center (MSRC). L'analista ha infatti denunciato di aver ricevuto pesanti intimidazioni e minacce legali da parte di emissari dell'azienda, i quali avrebbero promesso di "rovinarargli la vita" in seguito alle sue segnalazioni.