Microsoft Lança Mitigações para 'YellowKey', Zero-Day do BitLocker no Windows
**A Microsoft** emitiu mitigações para 'YellowKey' (**CVE-2026-45585**), uma vulnerabilidade zero-day recém-divulgada no BitLocker do Windows que poderia permitir acesso não autorizado a unidades protegidas. A vulnerabilidade, revelada por um pesquisador anônimo conhecido como 'Nightmare Eclipse', envolve a manipulação de arquivos 'FsTx' para contornar a criptografia do BitLocker.
## YellowKey: Um Contorno do BitLocker
A vulnerabilidade 'YellowKey', divulgada por 'Nightmare Eclipse', permite que atacantes obtenham acesso não autorizado a unidades protegidas pelo **BitLocker**. O pesquisador publicou um proof-of-concept (PoC) de exploit demonstrando como arquivos 'FsTx' especialmente criados, colocados em uma unidade USB ou partição EFI, podem ser usados para acionar um shell com acesso irrestrito ao volume de armazenamento.
'Nightmare Eclipse' tem divulgado ativamente vulnerabilidades zero-day, incluindo **BlueHammer** (CVE-2026-33825) e **RedSun**, citando insatisfação com o tratamento do **Microsoft** Security Response Center (**MSRC**) em divulgações de vulnerabilidades anteriores. Outras vulnerabilidades divulgadas incluem **GreenPlasma** e **UnDefend**.
## Resposta da Microsoft: Mitigações para CVE-2026-45585
A **Microsoft** está agora rastreando a falha 'YellowKey' como **CVE-2026-45585** e lançou medidas de mitigação para proteger contra exploração potencial.
"A Microsoft está ciente de uma vulnerabilidade de bypass de recurso de segurança no Windows, publicamente referida como 'YellowKey'. O proof of concept para esta vulnerabilidade foi tornado público, violando as melhores práticas de vulnerabilidade coordenada", declarou a **Microsoft** em um aviso.
As mitigações recomendadas incluem:
* Remover a entrada `autofstx.exe` do valor REG_MULTI_SZ BootExecute do Gerenciador de Sessão.
* Restabelecer a confiança do BitLocker para o WinRE, conforme detalhado no aviso CVE-2026-33825.
* Configurar o BitLocker em dispositivos já criptografados do modo "apenas TPM" para o modo "TPM+PIN".
* Ativar a opção "Exigir autenticação adicional na inicialização" via **Microsoft Intune** ou Políticas de Grupo para dispositivos ainda não criptografados, garantindo que "Configurar PIN de inicialização do TPM" esteja definido como "Exigir PIN de inicialização com TPM".
De acordo com Will Dormann, analista principal de vulnerabilidades na **Tharros**, impedir que `autofstx.exe` inicie automaticamente quando a imagem do WinRE é lançada impede a reprodução do Transactional NTFS que exclui `winpeshl.ini`.
## A Lacuna de Validação: Pentest Automatizado Responde Uma Pergunta. Você Precisa de Seis.
Ferramentas de pentest automatizadas entregam valor real, mas foram construídas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram construídas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se sustentam.
Este guia cobre as 6 superfícies que você realmente precisa validar.
[Baixe Agora](https://hubs.li/Q048zztN0)