说出来你可能不信,但这件事确实已经发生了。5月14日,一位名叫Chaotic Eclipse的安全研究员公开了一个漏洞,名字叫YellowKey。这个漏洞有多可怕呢?简单说,攻击者只需要一个U盘,插进你的Windows 11电脑,然后重启进入恢复模式,按住CTRL键,就能弹出一个命令行窗口——而这个窗口拥有你硬盘上所有文件的完全访问权限。不需要密码,不需要联网,不需要装任何软件。BitLocker加密?形同虚设。
微软自己也知道这事严重,紧急在5月20日发布了临时缓解措施,漏洞编号CVE-2026-45585,CVSS评分6.8。但注意两个字:临时。完整的安全补丁至今没出来,微软只说了一句"正在考虑发布补丁"。这意味着从现在起到官方补丁落地之前,你的Win11电脑一直处于"裸奔"状态。
那么这个漏洞到底是怎么实现的?问题不在BitLocker加密本身,而在Windows的恢复环境(WinRE)。正常情况下,电脑被盗后,BitLocker会锁死硬盘,没有密码谁也打不开。但WinRE里有个叫autofstx.exe的组件,它会在恢复启动时自动执行NTFS事务日志回放,攻击者利用这一点删掉winpeshl.ini文件,导致恢复环境直接掉进命令行界面而不是锁定界面。而此时因为TPM芯片已经自动完成了解密,攻击者拿到的就是一个完全敞开的文件系统。
受影响的范围不小。Windows 11的24H2、25H2、26H1三个版本,外加Windows Server 2025和Server Core,全部中招。Windows Server 2022在某些部署条件下也可能存在同样问题。唯独Windows 10因为WinRE配置不同,侥幸逃过一劫。
微软给出的临时缓解方案,说白了就是两条路。第一条是技术路线:挂载WinRE镜像、加载注册表配置单元、从Session Manager的BootExecute值里手动删掉autofstx.exe条目,然后重新建立BitLocker对WinRE的信任关系。听着就很麻烦,而且必须每台设备单独操作。第二条路就简单多了:把BitLocker从"仅TPM"模式切换到"TPM+PIN"模式,也就是开机时除了TPM自动解锁之外,还得输一个PIN码。多一道密码,就多一道门槛。
但这里有个让人更不安的细节。公开这个漏洞的研究员Chaotic Eclipse自己说了,他手里还攥着一个能绕过TPM+PIN保护的漏洞PoC,只是没放出来,理由是"目前放出来的已经够糟糕了"。这意味着即便你老老实实加了PIN码,也未必绝对安全。
说到这个研究员,为什么要把这么危险的漏洞直接公之于众?起因是他之前向微软报告BlueHammer等多个漏洞时,微软安全响应中心直接把他的报告给驳回了,态度敷衍。一怒之下,他干脆把所有漏洞都公开了。这件事说白了是个双输的局面:研究员赌气,用户遭殃。
更让人无语的是,这次微软自己也没底气说"别慌"。因为公开的PoC代码就挂在GitHub上,任何有恶意的人下载下来,放进U盘,就能对任何一台能接触到的Win11电脑下手。笔记本电脑被盗、短暂离席时被人插U盘、公司内部人员搞事——这些原本只会导致硬件损失的场景,现在全部变成了数据泄露的敞口。
如果你现在用的是Win11电脑,建议你别等了,马上去把BitLocker切换到TPM+PIN模式。操作不复杂:打开控制面板,找到BitLocker驱动器加密,在"管理BitLocker"里把保护器从"仅TPM"改成"TPM+PIN",设一个自己记得住的PIN码。企业用户除了执行这条之外,还得按微软的脚本去删autofstx.exe的注册表项,工作量不小。
加密软件被一个U盘攻破,这事儿听着像段子,但它就是2026年5月真实发生的事情。好消息是Windows 10用户暂时可以松一口气,坏消息是微软的正式补丁什么时候能出来,目前谁也不知道。
全部评论