BitLocker sotto attacco: Microsoft spiega come fermare YellowKey

La funzione di protezione Microsoft per la crittografia delle unità di memorizzazione, BitLocker, torna al centro dell’attenzione dopo la pubblicazione dei dettagli tecnici su YellowKey, uno zero-day che consente di accedere a volumi cifrati sfruttando Windows Recovery Environment (WinRE) e alcuni file preparati ad hoc. Microsoft ha confermato il problema, assegnandogli l’identificativo CVE-2026-45585, e ha diffuso una serie di mitigazioni temporanee in attesa di una patch definitiva.

La società di Redmond non parla di compromissione della crittografia BitLocker in senso stretto; CVE-2026-45585 è descritto come un bypass delle funzionalità di sicurezza legate alla protezione del volume cifrato.

La vicenda riaccende il dibattito sull’affidabilità delle protezioni pre-boot integrate in Windows 11 e Windows Server 2022/2025, soprattutto nei casi in cui i dispositivi usano configurazioni TPM-only senza autenticazione aggiuntiva.

Perché Microsoft punta il dito contro autofstx.exe

La mitigazione principale utilizzabile per neutralizzare la falla YellowKey ruota attorno al file autofstx.exe, funzionalità integrata nell’ambiente di ripristino di WinRE che si occupa di ripristinare e completare le transazioni del file system NTFS rimaste incomplete dopo errori o arresti improvvisi del sistema.

Secondo le analisi tecniche, YellowKey sfrutta proprio il comportamento automatico di questo componente durante l’avvio dell’ambiente di ripristino.

Per questo Microsoft chiede agli amministratori di modificare direttamente l’immagine WinRE installata su ogni sistema: bisogna montare offline l’immagine recovery, caricare il relativo hive SYSTEM e rimuovere la voce autofstx.exe dal registro dell’ambiente di ripristino.

Come risolvere il problema alla base del bypass YellowKey

La procedura descritta da Microsoft prevede i seguenti comandi che consentono di monta l’immagine recovery locale in una directory temporanea:

mkdir C:\mount

reagentc /mountre /path C:\mount

A questo punto bisogna caricare il registro dell’immagine WinRE con il comando che segue:

reg load HKLM\WinREHive C:\mount\Windows\System32\config\SYSTEM

Una volta aperto l’hive offline, Microsoft chiede di intervenire sulla chiave HKLM\WinREHive\ControlSet001\Control\Session Manager. Qui, dal valore multi-stringa BootExecute, va eliminata la voce autofstx.exe. La modifica impedisce l’esecuzione automatica della FsTx Auto Recovery Utility all’avvio di WinRE.

Conclusa la modifica, bisogna salvare l’hive del registro con reg unload HKLM\WinREHive e successivamente aggiornare l’immagine WinRE con il comando reagentc /unmountre /path C:\mount /commit.

Microsoft insiste anche su un altro passaggio importante: la ricostruzione del rapporto di fiducia fra BitLocker e l’ambiente di recovery. Per questo suggerisce di eseguire reagentc /disable seguito da: reagentc /enable.

Il doppio comando forza la rigenerazione delle configurazioni WinRE e aggiorna gli elementi usati da BitLocker per validare l’ambiente di recovery durante il boot.

La misura più efficace: abbandonare TPM-only e usare TPM+PIN

La parte più interessante del bollettino Microsoft riguarda però la protezione pre-boot. Redmond lascia chiaramente intendere che la configurazione TPM-only rappresenta il vero punto debole negli scenari con accesso fisico al dispositivo.

Quando BitLocker usa soltanto il TPM, il sistema sblocca automaticamente il volume durante l’avvio se la piattaforma appare integra. YellowKey sfrutta proprio quel momento: se invece l’utente configura un PIN pre-boot, il TPM non basta più a ottenere la chiave di decrittazione.

Microsoft propone tre modalità operative per attivare la protezione TPM+PIN sui sistemi già cifrati.

La prima usa PowerShell con privilegi amministrativi:

Add-BitLockerKeyProtector C: -TpmAndPinProtector

Il comando aggiunge un nuovo protector BitLocker associato a TPM e PIN: l’utente deve poi inserire e confermare il codice PIN scelto.

La seconda procedura utilizza un tool storico ed è attivabile ricorrendo al comando manage-bde -protectors -add C: -TPMAndPIN: anche in questo caso il sistema richiede la definizione di un PIN pre-boot.

Microsoft include infine una procedura grafica tramite Pannello di controllo. Si può digitare Gestione BitLocker nella casella di ricerca di Windows 11, quindi fare clic su Cambia come l’unità viene sbloccata all’avvio. A questo punto basta scegliere Immetti PIN.

Ne parliamo anche nel nostro approfondimento sull’utilizzo di BitLocker con TPM e PIN.

Esiste davvero un bypass per TPM+PIN?

Mentre Microsoft suggerisce di attivare la protezione TPM+PIN per stare al sicuro, il ricercatore Nightmare Eclipse – che ha scoperto YellowKey e altre vulnerabilità – sostiene di avere già sviluppato una variante capace di aggirare anche la configurazione TPM+PIN, cioè proprio la mitigazione che Microsoft indica oggi come misura principale contro CVE-2026-45585.

La dichiarazione non compare nel bollettino Microsoft ma emerge da post pubblici, discussioni tecniche e riferimenti presenti nel blog personale del ricercatore.

Per ora non esistono proof-of-concept pubblici completi né analisi indipendenti che confermino realmente un bypass totale di BitLocker con TPM+PIN.

Molti ricercatori fanno notare che BitLocker non usa il PIN come semplice password aggiuntiva memorizzata in locale: la protezione coinvolge meccanismi TPM come PolicyAuthValue, anti-hammering hardware e derivazione intermedia delle chiavi. Alcune analisi pubbliche spiegano che il TPM restituisce materiale crittografico soltanto quando il PIN corretto viene presentato al chip stesso.

Per questo motivo diversi specialisti dubitano che un bypass software puro possa realmente superare TPM+PIN senza conoscere il codice corretto. Altri ipotizzano invece scenari più sofisticati: intercettazione del traffico TPM, estrazione di key protector durante il boot, abuso di implementazioni WinRE particolari oppure attacchi offline contro PIN troppo semplici.