Microsoft a publié des mesures de protection contre YellowKey, une faille de sécurité zero-day qui affecte BitLocker sous Windows et qui donne un accès aux disques protégés.
Cette vulnérabilité a été rendue publique la semaine dernière par un chercheur anonyme qui utilise le pseudonyme ‘Nightmare Eclipse’. Il l’a qualifiée de porte dérobée et a publié un code d’exploitation de preuve de concept.
Selon le chercheur, pour exploiter cette faille, un attaquant doit déposer des fichiers ‘FsTx’ conçus à cet effet sur une clé USB ou dans la partition EFI. Après un redémarrage dans l’environnement de récupération Windows, il suffit de maintenir la touche CTRL enfoncée pour obtenir un accès illimité au volume de stockage protégé par BitLocker.
Le mois dernier, le même chercheur avait déjà dévoilé les failles BlueHammer et RedSun. Il s’agit de deux vulnérabilités d’élévation de privilèges locaux qui sont désormais exploitées dans des attaques actives.
Nightmare Eclipse a aussi divulgué des informations sur GreenPlasma, un autre problème de sécurité de type zero-day qui permet d’obtenir un shell avec les privilèges SYSTEM, et sur UnDefend, une faille que des utilisateurs standards peuvent exploiter pour empêcher Microsoft Defender de mettre à jour ses définitions.
Les raisons exactes de ces multiples divulgations ne sont pas claires, mais le chercheur a déjà expliqué qu’il s’agissait d’une protestation contre la manière dont le Microsoft Security Response Center (MSRC) avait géré le processus de signalement pour d’autres failles qu’il avait rapportées par le passé.
Les mesures de protection partagées par Microsoft
Mardi, Microsoft a annoncé qu’il suivait désormais la faille YellowKey sous la référence CVE-2026-45585 et a partagé des mesures d’atténuation pour se prémunir contre les potentielles attaques.
Dans un avis de sécurité, l’entreprise a déclaré : « Microsoft a connaissance d’une vulnérabilité de contournement de fonctionnalité de sécurité dans Windows, publiquement appelée « YellowKey ». La preuve de concept pour cette vulnérabilité a été rendue publique, ce qui viole les bonnes pratiques coordonnées de divulgation de vulnérabilités. »
« Nous attribuons ce CVE pour fournir des conseils de protection qui peuvent être mis en œuvre jusqu’à ce que la mise à jour de sécurité soit disponible. »
Pour se protéger contre les attaques YellowKey, Microsoft recommande de supprimer l’entrée autofstx.exe de la valeur REG_MULTI_SZ BootExecute du gestionnaire de session. Ensuite, il faut rétablir la confiance de BitLocker pour l’environnement de récupération en suivant la procédure détaillée dans l’avis pour le CVE-2026-33825.
Will Dormann, analyste principal des vulnérabilités chez Tharros, a précisé : « Concrètement, vous empêchez l’utilitaire de récupération automatique FsTx, autofstx.exe, de démarrer automatiquement lorsque l’image WinRE se lance. Avec ce changement, la relecture du système de fichiers transactionnel NTFS qui supprime le fichier winpeshl.ini n’a plus lieu. »
Microsoft conseille également aux clients de configurer BitLocker sur les appareils déjà chiffrés, en passant du mode « TPM uniquement » au mode « TPM+PIN » via PowerShell, la ligne de commande ou le panneau de configuration. Ce changement exige la saisie d’un code PIN avant le démarrage pour déchiffrer le disque, ce qui devrait bloquer les attaques YellowKey.
Sur les appareils qui ne sont pas encore chiffrés, les administrateurs peuvent activer l’option « Exiger une authentification supplémentaire au démarrage » via Microsoft Intune ou les Stratégies de groupe, tout en s’assurant que l’option « Configurer le code PIN de démarrage du TPM » est réglée sur « Exiger un code PIN de démarrage avec TPM ».