A Microsoft disponibilizou um conjunto de medidas para mitigar uma vulnerabilidade crítica que permite contornar a segurança do BitLocker. Conhecida como YellowKey, esta falha foi revelada publicamente na semana passada e obriga a uma intervenção manual por parte dos administradores de sistemas.
A vulnerabilidade zero-day, agora identificada como CVE-2026-45585, tem uma pontuação CVSS de 6.8. A gigante tecnológica confirmou que a prova de conceito foi tornada pública, o que viola as boas práticas de divulgação coordenada de vulnerabilidades e aumenta o risco de exploração.
O funcionamento do ataque YellowKey
Como avança o site Cyber Security News, o problema reside no Ambiente de Recuperação do Windows (WinRE). O ataque exige acesso físico à máquina, mas é de execução relativamente simples. O método passa por colocar ficheiros ‘FsTx’ modificados numa pen USB, ligar o dispositivo ao computador alvo e reiniciar o sistema para o WinRE.
Ao manter a tecla CTRL pressionada durante o arranque, o atacante consegue abrir uma linha de comandos com acesso total ao volume encriptado. Na prática, este novo exploit do Windows compromete a segurança do BitLocker em poucos minutos, dispensando a necessidade de credenciais, instalação de software adicional ou acesso à rede.
A falha afecta várias versões do sistema operativo, incluindo o Windows 11 (versões 24H2, 25H2 e 26H1 para sistemas x64), bem como o Windows Server 2022 e 2025. Para os utilizadores que costumam preparar as suas próprias pens de instalação, vale a pena lembrar que o Rufus recebeu uma actualização que permite a instalação silenciosa do Windows 11, mas a segurança pós-instalação e a protecção física do equipamento continuam a ser vitais.
Passos para a mitigação manual
Como ainda não existe uma actualização de segurança definitiva (patch) para resolver o problema de forma automática, a Microsoft partilhou um guia manual. O processo actua directamente na imagem do WinRE e exige a execução dos seguintes passos detalhados:
- O primeiro passo exige que os administradores de sistemas montem a imagem do WinRE em cada dispositivo afectado, utilizando a ferramenta de linha de comandos Reagentc para aceder aos ficheiros de recuperação.
- De seguida, é estritamente necessário carregar a secção do registo do sistema que corresponde a essa mesma imagem do ambiente de recuperação montada no passo anterior.
- O passo mais crítico consiste em modificar a entrada “BootExecute” no registo, eliminando o valor “autofstx.exe”, que é o ficheiro malicioso injectado para contornar a autenticação pré-franqueou do BitLocker.
- Após efectuar esta alteração de segurança, os utilizadores devem guardar as modificações e descarregar a secção do registo de forma segura para evitar corrupção de dados.
- Posteriormente, é preciso desmontar a imagem do WinRE e aplicar as alterações de forma definitiva ao ficheiro de recuperação do sistema.
- Por fim, os administradores têm de voltar a estabelecer a confiança do BitLocker para o WinRE, desactivando e voltando a activar o serviço de recuperação para garantir que as novas políticas são assumidas.
A importância de usar um PIN
Além da correcção no WinRE, a Microsoft recomenda vivamente a transição de uma protecção baseada apenas no módulo TPM para uma configuração que exija TPM e um PIN. Esta medida é especialmente importante para computadores portáteis de empresas, que estão muito mais sujeitos a perdas ou roubos.
A exigência de um PIN no arranque bloqueia eficazmente os ataques YellowKey, uma vez que impede o acesso automático ao ambiente de recuperação. Os administradores de sistemas podem gerir e forçar estas políticas de segurança à distância, acedendo através do browser ao portal do Microsoft Intune ou utilizando as Políticas de Grupo (Group Policies) em redes locais.
