W skrócie
Microsoft oficjalnie potwierdził istnienie luki w zabezpieczeniach YellowKey (CVE-2026-45585), która pozwala na dostęp do zaszyfrowanych dysków BitLocker przy użyciu fizycznego dostępu do urządzenia i zmanipulowanego środowiska odzyskiwania Windows. Problem dotyczy przede wszystkim systemów konfigurowanych wyłącznie z uwierzytelnianiem TPM, bez dodatkowej warstwy ochrony w postaci kodu PIN. Zanim Microsoft przygotuje trwałą łatkę, firma zaleca natychmiastowe przejście na konfigurację TPM + PIN oraz wyłączenie automatycznego uruchamiania niektórych komponentów WinRE w środowiskach korporacyjnych i wszędzie tam, gdzie komputer może znaleźć się w rękach niepowołanych osób.
Jak działa atak YellowKey na BitLocker
Technika, którą opublikował badacz znany jako Nightmare Eclipse, nie polega na bezpośrednim łamaniu szyfrowania ani brute force klucza BitLocker. Zamiast tego wykorzystuje ona lukę w środowisku odzyskiwania Windows Recovery Environment (WinRE), pozwalając na otwarcie konsoli systemowej z podwyższonymi uprawnieniami jeszcze zanim system w pełni uruchomi zabezpieczenia. Atakujący używa zmodyfikowanych plików załadowanych z dysku USB lub specjalnie przygotowanej partycji EFI, wymuszając start w trybie naprawy, który następnie może być wykorzystany do ominięcia szyfrowania.
Problem leży w tym, że środowisko odzyskiwania działa poza normalnym łańcuchem rozruchowym Windows i uruchamia się przed pełną weryfikacją integralności systemu. Jeśli komputer został skonfigurowany tak, aby automatycznie odblokowywać BitLocker przy użyciu modułu TPM – co jest domyślnym ustawieniem w większości firmowych wdrożeń – atakujący z fizycznym dostępem może manipulować procesem uruchamiania bez konieczności znajomości hasła ani kodu PIN.
W praktyce oznacza to, że laptopy firmowe, stacje robocze czy komputery w laboratoriach, których administratorzy uznali, że BitLocker z samym TPM wystarcza do ochrony danych, są narażone na atak wymagający jedynie kilku minut samodzielnego dostępu do urządzenia i przygotowanego nośnika USB.
Jakie środki zaradcze proponuje Microsoft
Do czasu wydania oficjalnej łatki, Microsoft zaleca cztery konkretne działania, które znacząco utrudniają wykorzystanie luki YellowKey:
Wyłączenie automatycznego uruchamiania autofstx.exe – komponent ten jest częścią procedury odzyskiwania i może zostać wykorzystany do uruchomienia niezweryfikowanych skryptów w środowisku WinRE. Wyłączenie jego automatycznego startu ogranicza powierzchnię ataku.
Wymuszenie użycia kodu PIN rozruchowego w połączeniu z TPM – to najważniejsza rekomendacja. Gdy BitLocker wymaga wprowadzenia kodu PIN podczas uruchamiania komputera, sam fizyczny dostęp przestaje wystarczać, ponieważ atakujący musi znać zarówno sprzętową tożsamość urządzenia (TPM), jak i sekretną frazę ustaloną przez użytkownika.
Ponowna konfiguracja łańcucha zaufania BitLocker w WinRE – wymaga ręcznego sprawdzenia, czy środowisko odzyskiwania nie zawiera zmodyfikowanych komponentów oraz weryfikacji podpisów cyfrowych wszystkich plików załadowanych podczas rozruchu w trybie naprawy.
Zastosowanie scentralizowanych zasad za pomocą Group Policy lub Microsoft Intune – w dużych organizacjach ręczna konfiguracja setek czy tysięcy komputerów jest niewykonalna. Microsoft zaleca wdrożenie odpowiednich polityk bezpieczeństwa na poziomie domeny Active Directory lub poprzez Microsoft Intune, aby wymusić używanie kodu PIN dla BitLocker na wszystkich urządzeniach jednocześnie.
Dlaczego konfiguracja TPM-only okazała się ryzykowna
TPM to dedykowany chipset wbudowany w większość nowoczesnych płyt głównych i laptopów, odpowiedzialny za przechowywanie kluczy kryptograficznych i zapewnianie integralności platformy sprzętowej. W teorii automatyczne odblokowanie BitLocker przez TPM powinno być bezpieczne, ponieważ system weryfikuje, czy nie nastąpiły żadne modyfikacje sprzętu ani bootloadera.
Problem w tym, że środowisko odzyskiwania Windows uruchamia się poza pełnym zakresem weryfikacji TPM, ponieważ jest projektowane właśnie po to, aby umożliwić naprawę systemu nawet wtedy, gdy coś w łańcuchu rozruchowym się nie zgadza. To stwarza paradoks: mechanizm stworzony do odzyskiwania uszkodzonego systemu staje się jednocześnie drzwiami bocznymi dla kogoś, kto chce ominąć zabezpieczenia.
Wiele firm stosowało konfigurację TPM-only właśnie dlatego, że jest wygodna – użytkownik nie musi pamiętać żadnego hasła, komputer po prostu uruchamia się i automatycznie odszyfrowuje dysk. To doskonałe rozwiązanie z punktu widzenia doświadczenia użytkownika, ale katastrofalne z perspektywy bezpieczeństwa fizycznego.
YellowKey pokazuje, że poleganie wyłącznie na TPM jest dziś niewystarczające w środowiskach wysokiego ryzyka – wszędzie tam, gdzie laptop może zostać ukradziony, zapomniany w miejscu publicznym lub pozostawiony bez nadzoru w biurze otwartym dla wielu osób.
Problem po raz kolejny dotyczy bezpieczeństwa fizycznego Windows
Luka YellowKey to kolejny przypadek, w którym słabym ogniwem nie jest algorytm szyfrowania ani klucz kryptograficzny, ale wszystko to, co dzieje się przed właściwym startem systemu operacyjnego. Historia problemów z BitLockerem obejmuje już wcześniejsze ataki na łańcuch rozruchowy, exploity wykorzystujące USB-C i Thunderbolt do przejmowania kontroli nad pamięcią, a teraz manipulację środowiskiem WinRE.
Paradoks polega na tym, że BitLocker sam w sobie działa bardzo dobrze – AES-128 lub AES-256 z prawidłowo zarządzanym kluczem to solidne szyfrowanie, które nie zostało złamane. Ale w rzeczywistym świecie szyfrowanie to tylko jeden element całego ekosystemu, a atakujący zawsze szukają najsłabszego ogniwa. Jeśli mogą ominąć mechanizm uwierzytelniania zanim szyfrowanie w ogóle zacznie działać, algorytm kryptograficzny przestaje mieć znaczenie.
Microsoft przyznaje w oficjalnym komunikacie dotyczącym CVE-2026-45585, że problem wymaga działania po stronie użytkownika, ponieważ trwała poprawka nie jest jeszcze gotowa. Oznacza to, że nawet po wydaniu łatki administratorzy będą musieli aktywnie wdrożyć zmiany w konfiguracji BitLocker – samo zainstalowanie aktualizacji Windows nie wystarczy.
Kto powinien natychmiast zmienić ustawienia BitLocker
Jeśli pracujesz w organizacji, która zarządza flotą laptopów firmowych z wrażliwymi danymi – dokumentami klientów, kodem źródłowym, danymi medycznymi czy informacjami finansowymi – ta luka powinna być traktowana priorytetowo. Podobnie dotyczy to laboratoriów badawczych, instytucji rządowych, firm prawniczych oraz każdego środowiska, gdzie komputer może zostać fizycznie skradziony lub użyty przez osobę nieuprawnioną.
Dla przeciętnego użytkownika domowego, który używa BitLocker głównie po to, aby chronić swoje dane w razie zgubienia laptopa, ryzyko jest mniejsze – atakujący musiałby najpierw zdobyć sprzęt, a następnie wiedzieć o istnieniu luki i mieć przygotowane narzędzia. Niemniej jednak włączenie kodu PIN to prosta procedura, która nie kosztuje nic poza kilkoma dodatkowymi sekundami przy każdym uruchomieniu komputera.
Podsumowanie
Luka YellowKey w BitLockerze to poważny problem dla każdego, kto polegał wyłącznie na module TPM jako mechanizmie ochrony zaszyfrowanego dysku. Microsoft oficjalnie potwierdził lukę i zaleca natychmiastowe przejście na konfigurację TPM + PIN, dopóki trwała łatka nie zostanie wydana. To nie jest opcjonalne zalecenie dla środowisk korporacyjnych – każdy administrator, który zarządza flotą laptopów z wrażliwymi danymi, powinien wdrożyć tę zmianę niezwłocznie. Dla użytkowników domowych YellowKey to przypomnienie, że fizyczny dostęp do urządzenia to wciąż jedna z najskuteczniejszych dróg ataku, a dodatkowa warstwa uwierzytelniania w postaci kodu PIN może uratować poufne dane, nawet gdy komputer wpadnie w niepowołane ręce.