Alerta por vulnerabilidad en BitLocker: mitigación de Microsoft para CVE-2026-45585
Publicado el
Microsoft aborda la vulnerabilidad YellowKey en BitLocker
El pasado 20 de mayo de 2026, Microsoft lanzó una mitigación para una vulnerabilidad crítica en BitLocker, identificada como YellowKey, tras su divulgación pública la semana anterior. Este fallo, ahora clasificado como CVE-2026-45585, presenta un CVSS de 6.8, lo que indica un nivel de riesgo moderado.
La compañía de Redmond reconoció en un aviso que la vulnerabilidad permite el bypass de una característica de seguridad en Windows, lo que podría comprometer la seguridad de los datos en dispositivos afectados. En su publicación, Microsoft indicó que la prueba de concepto para esta vulnerabilidad fue divulgada, incumpliendo así las prácticas recomendadas para la coordinación de vulnerabilidades.
Detalles de la vulnerabilidad
La vulnerabilidad impacta a varias versiones de Windows 11 (26H1, 24H2, 25H2) y a Windows Server 2025. YellowKey fue revelada por un investigador de seguridad conocido como Chaotic Eclipse (también llamado Nightmare-Eclipse). Este ataque consiste en colocar archivos 'FsTx' diseñados en una unidad USB o en una partición EFI. Al conectar esta unidad al ordenador Windows con BitLocker activado y reiniciar en el Entorno de Recuperación de Windows (WinRE), se puede activar un shell con acceso ilimitado manteniendo presionada la tecla CTRL.
El investigador destacó que, si se realiza correctamente el procedimiento, se obtendrá acceso completo al volumen protegido por BitLocker. Esto implica que un atacante con acceso físico al dispositivo podría sortear las protecciones de encriptación de BitLocker y acceder a datos sensibles.
Medidas de mitigación recomendadas
Para abordar esta vulnerabilidad, Microsoft ha propuesto varias medidas de mitigación:
1. Montar la imagen de WinRE en cada dispositivo. 2. Montar el registro del sistema de la imagen de WinRE montada. 3. Modificar BootExecute eliminando el valor "autofstx.exe" del valor REG_MULTI_SZ de BootExecute del Gestor de Sesiones. 4. Guardar y descargar el registro. 5. Desmontar y confirmar la imagen actualizada de WinRE. 6. Restablecer la confianza de BitLocker para WinRE.
Con estas acciones, se impide que la utilidad de Recuperación Automática de FsTx, autofstx.exe, se inicie automáticamente al lanzar la imagen de WinRE. El investigador de seguridad Will Dormann explicó que, al realizar este cambio, se evita la eliminación del archivo winpeshl.ini, lo que a su vez contribuye a reforzar la seguridad.
Microsoft también aconsejó a los usuarios que configuren BitLocker en dispositivos ya encriptados con el protector "TPM-only" para cambiar a "TPM+PIN". Esto requerirá un PIN para descifrar la unidad al inicio, dificultando así los ataques tipo YellowKey. En dispositivos no encriptados, se recomienda habilitar la opción de "Requerir autenticación adicional al inicio" mediante Microsoft Intune o Políticas de Grupo, y asegurarse de que la opción "Configurar PIN de inicio de TPM" esté establecida en "Requerir PIN de inicio con TPM".
Al implementar estas mitigaciones, se busca proteger a los usuarios de posibles exploits relacionados con esta vulnerabilidad crítica, que podría poner en riesgo la seguridad de los datos almacenados en dispositivos Windows.