Notebookcheck Logo

Microsoft mitiga el bypass de YellowKey BitLocker, aún no hay parche

Figura encapuchada en un montaje multipantalla ejecutando un ciberataque.
ⓘ Magnific.com/author/dcstudio
Figura encapuchada en un montaje multipantalla ejecutando un ciberataque.
Microsoft publicó los pasos de mitigación para YellowKey (CVE-2026-45585), una derivación de BitLocker que permite a los atacantes físicos acceder a las unidades cifradas de Windows.
Windows Software Security Microsoft Laptop / Notebook Desktop

Microsoft ha publicado una guía de mitigación para YellowKey, la desviación de BitLocker divulgada públicamente y ahora rastreada como CVE-2026-45585, después de que se publicara una prueba de concepto de trabajo sin divulgación coordinada. Todavía no hay disponible una actualización de seguridad completa. La empresa confirmó que está trabajando en una solución permanente e insta a los administradores de las versiones de Windows afectadas a que apliquen inmediatamente las medidas provisionales.

Qué hace la mitigación

El exploit funciona borrando winpeshl.ini a través de Transactional NTFS (TxF)lo que provoca que el entorno de recuperación WinRE genere un intérprete de comandos sin restricciones en lugar de cargar la interfaz de recuperación estándar. A partir de ahí, un atacante con acceso físico obtiene visibilidad completa y sin cifrar del contenido de la unidad, sin necesidad de credenciales, instalación de software ni conexión a la red.

La mitigación de Microsoft aborda el problema desactivando autofstx.exe, la utilidad de recuperación automática FsTx, dentro de la imagen WinRE. Los administradores deben montar la imagen WinRE en cada dispositivo afectado, cargar la colmena del registro del sistema y eliminar la entrada autofstx.exe del valor BootExecute del gestor de sesiones. Microsoft también recomienda mover los dispositivos de alto riesgo de TPM-only BitLocker al modo TPM+PIN, que hace que la explotación física sea mucho más difícil.

Se trata de una solución provisional, no de un parche. Microsoft no ha confirmado cuándo llegará una actualización completa. Hasta que lo haga, cualquier máquina que ejecute una versión afectada de Windows con un puerto USB y la capacidad de reiniciar en modo de recuperación es un objetivo viable para cualquiera que tenga el código de explotación disponible públicamente.

Sistemas afectados y qué deben hacer ahora los administradores

CVE-2026-45585 tiene una puntuación CVSS de 6,8 y requiere acceso físico, pero Microsoft califica la explotación como "Más probable" dado que la prueba de concepto ya es pública. El aviso de Microsoft se centra en Windows 11 24H2, 25H2 y 26H1 en sistemas x64, junto con Windows Server 2025 y Windows Server 2025 Server Core. Windows 10 no experimenta problemas debido a las diferencias en su configuración WinRE. Los análisis técnicos públicos también señalan a Windows Server 2022 como potencialmente vulnerable en condiciones de despliegue específicas a través del mismo fallo de ruta de recuperación WinRE, aunque Microsoft aún no lo ha abordado formalmente en su aviso.

El investigador detrás del exploit, conocido como Nightmare-Eclipse, lo hizo público antes de que Microsoft hubiera emitido ninguna orientación. Microsoft calificó el incidente de violación de las prácticas coordinadas de divulgación de vulnerabilidades.

Google LogoAdd as a preferred source on Google
Mail Logo

Artículos relacionados

> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2026 05 > Microsoft mitiga el bypass de YellowKey BitLocker, aún no hay parche
Darryl Linington, 2026-05-21 (Update: 2026-05-21)