研究員公開利用程式逼出緊急應對！微軟為「 YellowKey」漏洞發布緩解措施

微軟於5月20日針對已公開概念驗證（PoC）程式碼的 BitLocker 安全功能繞過漏洞，發布官方緩解措施。此漏洞編號為 CVE-2026-45585，被公開命名為「YellowKey」，CVSS 評分為 6.8，影響多個 Windows 11 及 Windows Server 2025 版本。目前修補程式尚未發布，企業與機構須立即採取手動緩解步驟以降低資料外洩風險。

研究員因不滿通報處理而公開 PoC

YellowKey 漏洞由安全研究員 Chaotic Eclipse（又名 Nightmare-Eclipse）於一週前以零時差漏洞（Zero-day）形式公開揭露，起因係研究員對微軟處理漏洞通報的方式感到不滿，決定繞過協調揭露慣例直接公開。微軟在其官方公告中指出，「此漏洞的概念驗證程式碼已公開，違反了協調揭露的最佳實踐。」

自 2026 年 4 月起， Nightmare-Eclipse 陸續公開多個 Windows 零時差漏洞，包括被追蹤為 CVE-2026-33825 的 BlueHammer、另一個本機提權漏洞 RedSun，以及可阻斷 Microsoft Defender 接收病毒碼更新或將其停用的 UnDefend。

BlueHammer 遭公開後已被威脅行為者積極利用，微軟隨後於 4 月 Patch Tuesday 更新中修補了該漏洞。RedSun 方面，微軟則未發布任何公告。

YellowKey 與 GreenPlasma 於 5 月 13 日（5 月 Patch Tuesday 隔天）同步公開，研究員刻意選在修補週期後一天釋出，使各組織在下一個正式修補週期前無官方修復可用。

與 YellowKey 同步公開的 GreenPlasma，是一個可讓未授權使用者在系統可寫入的目錄物件中建立任意記憶體區段物件（Memory Section Object）的提權漏洞，理論上可操控特權服務或核心驅動程式；然而研究員公開的 PoC 為不完整版本，缺少實現完整 SYSTEM Shell 所需的關鍵元件。

研究員並預告，將在 2026 年 6 月 Patch Tuesday 為微軟帶來「一個大驚喜」，暗示仍有未公開的漏洞。漏洞分析師 Will Dormann 已確認 YellowKey 的 PoC 可被成功執行。

漏洞核心：問題不在加密，而在復原環境

BitLocker 的核心防護承諾，是在裝置遭竊或無人看管的情況下，確保磁碟資料因靜態加密而無法被存取，金鑰綁定於可信賴平台模組（TPM），並在系統啟動前驗證開機程序完整性。

荷蘭國家網路安全中心（NCSC Netherlands）對此指出，「漏洞並不在加密機制本身，而是在 BitLocker 周邊的復原環境。」

具體而言，攻擊者須具備對目標裝置的實體接觸，攻擊流程如下：將含有特製「FsTx」檔案的 USB 隨身碟或 EFI 磁碟分割插入目標裝置、重新開機進入 Windows 復原環境（Windows Recovery Environment，WinRE）後，透過按住 CTRL 鍵觸發一個具有不受限制存取權限的命令列介面（Shell），進而存取受 BitLocker 保護的磁碟區資料。

研究員在 GitHub 貼文中指出，一旦操作正確，攻擊者即可取得不受限制存取 BitLocker 保護磁碟區的 Shell。並透露，目前還有一個可繞過 TPM+PIN 保護的漏洞PoC尚未對外公開。

受影響系統範圍

目前已確認受影響的作業系統版本包括：Windows 11 版本 24H2（x64）、Windows 11 版本 25H2（x64）、Windows 11 版本 26H1（x64），以及 Windows Server 2025 和 Windows Server 2025 Server Core 安裝版本。

由於修補程式尚未釋出，微軟提供兩種緩解途徑：

方法一：修改 WinRE 映像（較複雜，但較徹底）

需掛載 WinRE 映像並載入系統登錄檔（Registry Hive），從工作階段管理員（Session Manager）的 BootExecute REG_MULTI_SZ 值中移除「autofstx.exe」項目，儲存並卸載登錄檔後，卸載並提交更新後的 WinRE 映像，最後重新建立 WinRE 的 BitLocker 信任關係。

Dormann 解釋，此作法可防止 FsTx 自動復原工具（autofstx.exe）在 WinRE 映像啟動時自動執行，使刪除 winpeshl.ini 的 Transactional NTFS 重播動作不再發生，從而阻斷攻擊鏈。

方法二：啟用 TPM+PIN 保護（較簡易，建議優先實施）

針對已加密裝置，管理員可透過 PowerShell、命令列或控制台，將現有僅 TPM 的 BitLocker 保護模式升級為 TPM+PIN 模式，要求在啟動時輸入 PIN 碼方可解密磁碟機。

對於尚未加密的裝置，微軟建議透過 Microsoft Intune 或群組原則（Group Policy）啟用「啟動時要求額外驗證」選項，並確保「設定 TPM 啟動 PIN」設定為「需要使用 TPM 的啟動 PIN」。

企業應對建議

考量目前 PoC 已公開且可被成功利用，且同一研究員預告六月仍有後續揭露，企業資安團隊應優先評估環境中受影響的 Windows 11 及 Windows Server 2025 裝置，並儘速實施上述緩解措施，尤其應關注具高度敏感資料的端點裝置。建議持續追蹤微軟官方安全公告（CVE-2026-45585），以掌握正式修補程式的發布時程。