微软发布针对WindowsBitLocker安全绕过零日漏洞的缓解措施

admin
admin
admin
0
文章
0
评论
2026-05-22 02:44:44 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 微软披露WindowsBitLocker安全绕过零日漏洞CVE-2026-45585,该漏洞位于Windows恢复环境(winre)中,允许物理访问者绕过全盘加密泄露数据,影响Windows11及Server2022/2025系统。微软提供六步手动缓解指南,包括修改winre注册表并建议将BitLocker保护器升级至TPM+PIN配置,同时支持通过Intune或组策略大规模部署。 综合评分: 91 文章分类: 漏洞预警,终端安全,安全运营

cover_image

微软发布针对 Windows BitLocker 安全绕过零日漏洞的缓解措施

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月20日 19:44 北京

在小说阅读器读本章

去阅读

微软披露了 Windows BitLocker 中的一个严重零日漏洞,编号为 CVE-2026-45585,该漏洞允许具有物理访问权限的威胁行为者完全绕过全盘加密,可能在几分钟内泄露敏感数据。

该漏洞于 2026 年 5 月 19 日公开披露,虽然尚未确认有人利用该漏洞,但微软将其评为“极有可能被利用”,促使采取紧急缓解措施。

该漏洞被归类为安全功能绕过漏洞,最高严重级别为重要。

它位于 Windows 恢复环境 (WinRE) 中,并与名为 YellowKey 的关键漏洞利用链相关联,该漏洞利用链由研究员 Nightmare-Eclipse 开发并发布在 GitHub 上。

成功的攻击者可以利用此漏洞绕过系统存储设备上的 BitLocker 设备加密,在无需用户凭据或解密密钥的情况下获得对加密数据的未经授权的访问。

该漏洞仅影响 Windows 11、Windows Server 2022 和 Windows Server 2025。

目前尚未发布补丁;微软发布了一份多步骤手动缓解指南,同时正在准备正式的安全更新。

Windows BitLocker 安全绕过

该漏洞源于 WinRE 对BootExecute注册表值的处理HKLM\ControlSet001\Control\Session Manager

恶意二进制文件autofstx.exe被注入到该值中,在操作系统完全加载之前执行,从而完全绕过 BitLocker 的启动前身份验证。

由于 WinRE 在主操作系统环境之外运行,因此传统的终端安全工具无法拦截此执行过程。

微软的缓解措施

微软提供了一个六步缓解程序,直接针对 WinRE 映像:

  1. 使用以下方式挂载 WinRE 映像reagentc /mountre /path C:\mount
  2. 通过以下方式加载 WinRE 系统注册表单元reg load HKLM\WinREHive
  3. autofstx.exeBootExecute蜂箱上取下蜂巢入口
  4. 使用以下命令卸载注册表单元:reg unload HKLM\WinREHive
  5. 使用以下命令卸载并提交修改后的映像reagentc /unmountre /path C:\mount /commit
  6. reagentc /disable通过运行以下命令重新建立 BitLocker 信任:reagentc /enable

除了修补 WinRE 之外,微软强烈建议将仅使用 TPM 的 BitLocker 保护器升级到 TPM+PIN 配置。

管理员可以通过 PowerShell ( Add-BitLockerKeyProtector C: -TpmAndPinProtector)、命令提示符 ( manage-bde -protectors -add C: -TPMAndPIN) 或控制面板中的 BitLocker 驱动器加密来实现此功能。

如果组策略阻止 PIN 配置,管理员必须先启用“启动时需要额外身份验证” gpedit.msc,并将“配置 TPM 启动 PIN”设置为“使用 TPM 启动 PIN 时需要 PIN”,然后才能继续。

对于非托管设备,Microsoft Intune 和基于组策略的 BitLocker 部署都支持大规模强制执行 TPM+PIN 配置。

针对加密终端的物理访问攻击构成了一种日益严重的威胁,尤其对于丢失或被盗的企业笔记本电脑而言更是如此。

YellowKey漏洞利用代码的公开获取大大降低了攻击者的门槛,即使是技术水平较低的威胁行为者也能轻易利用它。

负责管理 Windows 11 或 Server 2022/2025 部署的安全团队应优先考虑 WinRE 修复步骤,并在正式补丁发布之前立即强制执行 TPM+PIN 策略。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《微软发布针对 Windows BitLocker 安全绕过零日漏洞的缓解措施》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0