快科技5月21日消息，针对近期公开披露的BitLocker绕过漏洞YellowKey（CVE-2026-45585），微软已发布临时缓解方案，但完整安全补丁尚未推出。

该漏洞允许攻击者在拥有物理接触权限的情况下，无需凭据、无需安装软件、无需网络连接即可获取磁盘未加密内容的完整访问权限。

YellowKey的利用原理是通过事务性NTFS（TxF）删除winpeshl.ini文件，导致WinRE恢复环境启动一个不受限制的命令行外壳，而非标准的恢复界面。

攻击者只需一个U盘和重启进入恢复模式的能力，即可完成整个攻击流程，由于概念验证代码已在互联网上公开，微软将利用可能性评估为"更可能"。

微软的临时缓解方案通过禁用WinRE镜像中的autofstx.exe（FsTx自动恢复工具）来阻断攻击路径。

管理员需要挂载每台受影响设备的WinRE镜像，加载系统注册表配置单元，并从Session Manager的BootExecute值中移除autofstx.exe条目。

微软同时建议将高风险设备从仅TPM模式切换至TPM+PIN模式，大幅提高物理攻击的门槛。

受影响系统包括Windows 11 24H2、25H2、26H1（x64架构）以及Windows Server 2025和Server Core，Windows 10因WinRE配置差异不受影响。

不过，有安全研究人员指出Windows Server 2022在特定部署条件下可能同样存在漏洞，微软尚未在官方公告中正式确认。