今天刷到这个消息的时候,我盯着屏幕愣了好几秒。一根普通的USBU盘,插进去,按几个键,Windows 11号称"企业级安全"的BitLocker加密就直接被绕过去了。这不是什么电影桥段,是实打实存在的零日漏洞,代号YellowKey。

发现这个漏洞的安全研究员叫Chaotic Eclipse,圈内更熟悉的名字是Nightmare-Eclipse。这位老哥在公开 exploit 之后甩了一句挺耐人寻味的话:"除了这是故意的,我想不出别的解释。"更蹊跷的是,漏洞只影响Windows 11和Server 2022/2025,Windows 10居然没事。

打开网易新闻 查看精彩图片

微软这边倒是反应挺快,已经把这个漏洞编进CVE-2026-45585在跟踪了,还放出了临时缓解措施。但说实话,看完整个攻击流程,我觉得普通用户得捏把汗。

攻击步骤简单到离谱。Tom's Hardware那边详细拆解过:随便找个U盘,往"System Volume Information"里写点东西,把"FsTx"文件夹和里面的内容复制进去。然后Shift+点击重启进恢复环境,这时候按住Control键别松手,机器就会重启,直接给你弹出一个高权限命令行——BitLocker锁着的硬盘就在你面前,全程没问你要过任何密钥。

整个过程不需要什么高端设备,不需要破解工具,不需要社会工程学。就是一根U盘,几个按键组合,完事。

Eclipse在公开这个漏洞之前,显然有过心理挣扎。按他自己的说法,"本来可以靠这个赚一大笔的",但最后还是选择公开。这种决定背后的心态挺有意思的——对微软的"执念"压过了金钱诱惑。安全研究员和厂商之间的这种张力,在圈子里不算新鲜事,但每次发生都还是让人感慨。

微软目前给的缓解方案分两步走。第一步是改注册表,把autofstx.exe从Session Manager的BootExecute REG_MULTI_SZ值里删掉。第二步更关键:得重新建立BitLocker对WinRE(Windows恢复环境)的信任,具体操作微软在Mitigations文档里写了。

但说实话,对大多数普通用户来说,改注册表这件事本身就有点劝退。微软自己也知道这点,所以额外推荐了一个更实际的临时方案:把BitLocker从TPM-only模式改成TPM+PIN模式。这样开机的时候得输个PIN码才能解密,YellowKey这种攻击路子理论上就走不通了。

改配置可以用PowerShell、命令行或者控制面板,三种方式都行。这个调整的核心逻辑很简单——让攻击者没法在"没经过身份验证"的情况下摸到恢复环境。毕竟YellowKey的整套攻击链条,依赖的就是能无阻碍地进WinRE。

但这里有个挺尴尬的矛盾。BitLocker本来就是用来保护数据的,现在为了防一个漏洞,用户得去改BitLocker的配置。而且TPM+PIN模式虽然安全,但开机多输一个密码,体验上是实打实的倒退。企业环境可能无所谓,个人用户估计得纠结一下。

更值得琢磨的是Eclipse那句"像是故意的"。安全研究员公开质疑厂商故意留后门,这种事在业界不算罕见,但通常都停留在猜测层面。这次不一样的地方在于漏洞的"选择性"——为什么Windows 10没事?为什么偏偏是Windows 11和Server新版本?

从技术角度猜,可能是WinRE在Windows 11里的架构有变化,引入了新的组件或者流程,结果引入了新的攻击面。autofstx.exe这个文件的名字本身就挺有意思,"auto fs tx"——自动文件系统事务?看起来像是某种恢复环境里的自动化工具,结果被当成了跳板。

但普通用户其实不太关心这些技术细节。大家更想知道的是:我的数据现在还安全吗?微软什么时候出正式补丁?在那之前我该做什么?

按微软目前的表态,正式的安全更新还在路上,缓解措施是"临时"的。这意味着漏洞本身还没被从根本上修复,只是提高了攻击门槛。对于存着敏感数据的用户来说,这个状态显然不够让人安心。

企业IT管理员这边可能更头疼。BitLocker大规模部署的环境里,一台台去改TPM+PIN配置就是个体力活。而且改完之后还得考虑PIN的管理、重置、用户支持这些后续问题。本来是为了安全上的一道锁,现在因为锁本身有问题,得先换把钥匙。

这个漏洞也再次暴露了一个老问题:恢复环境的安全边界到底该怎么画?WinRE设计的初衷是在系统出问题时能抢救数据,但它同时也是一个"在操作系统之外运行"的环境,天然就有权限上的特殊性。怎么在"能救急"和"不被滥用"之间找平衡,微软显然还没找到完美答案。

回头看Eclipse选择公开而不是卖漏洞的决定,其实挺符合这几年安全圈的一种趋势。越来越多的研究员倾向于"负责任地披露",哪怕这意味着放弃六位数甚至七位数的漏洞赏金。背后的驱动力很复杂——有的是对厂商的不满,有的是对公共利益的考量,有的纯粹是技术理想主义。

但"负责任披露"的代价也不小。公开之后,恶意攻击者同样能拿到利用方法,在补丁出来之前就是"漏洞窗口期"。这次微软反应算快的,但用户端能不能及时跟进缓解措施,又是另一回事。

对于还在用Windows 10的用户来说,这次倒是意外"因祸得福"。老系统没受影响,某种程度上算是证明了"不升级也有不升级的好处"。当然,Windows 10的支持周期也在倒计时,这种"安全"是暂时的。

最后说点实际的。如果你现在用着Windows 11并且开了BitLocker,建议去检查一下当前的配置模式。如果是TPM-only,考虑改成TPM+PIN。微软的文档写得还算清楚,跟着走就行。企业用户可能还得评估一下大规模改配置的可行性,以及要不要临时加其他的数据保护措施。

至于那个"是不是故意的"的疑问,大概不会有官方答案。安全研究员和厂商之间的信任赤字,也不是这一个漏洞能填平的。对普通玩家来说,重要的还是盯紧补丁更新,在正式修复出来之前,先把能做的防护措施做了。

毕竟数据这东西,丢了就是真的丢了。一根U盘能搞定的事,还是别太掉以轻心。