微软正为BitLocker"YellowKey"攻击漏洞研发补丁并提供临时修复方案

微软表示，正在研究针对一个被命名为"YellowKey"的零日漏洞的修复补丁。该漏洞允许能够物理接触Windows设备的攻击者绕过BitLocker加密保护，进而读取和写入文件。此漏洞于上周被公开披露，目前已有可用的公开概念验证代码。

微软于周二发布安全公告，将该漏洞追踪编号定为CVE-2026-45585，并在评估补丁可行性的同时，呼吁企业采取措施降低风险。公告中明确列出了企业应立即采取的应对步骤。由于利用该漏洞需要物理接触设备，因此限制对受影响设备的物理访问是当前最关键的防御手段。

Gartner高级总监分析师Eric Grenier表示："企业应首先对自身环境进行审计，排查存在YellowKey漏洞风险的条件。同时，还应明确在设备丢失或被盗情况下的风险承受边界，并据此采取相应措施，例如自定义安全启动（Secure Boot）以及确保固件和启动完整性。"

网络安全公司NetSPI研究副总裁Karl Fosaaen对此表示认同："由于该漏洞需要物理接触才能被利用，企业应重点关注Windows设备的物理安全管控措施。建立完善的设备物理访问策略和管控机制，是保护潜在受影响设备的重要第一步。若对攻击者获取系统文件存在更多顾虑，企业还可以考虑限制允许用户本地存储的数据范围。"

企业面临的挑战之一，是员工移动设备使用的普遍化，这使得组织更难对设备访问实施严格限制。英国安全公司Acumen的首席顾问Nathan Davies-Webb指出："如今越来越多的公司将企业数据存储在员工笔记本电脑上，而YellowKey漏洞可能导致这些数据处于未加密保护的状态。"这正是严格的设备安全策略发挥作用的场景，例如禁止用户将设备置于无人看管的状态。

然而，Fosaaen也指出，令个人用户难以察觉的是，设备遭受攻击后往往没有明显迹象。"如果攻击者利用该漏洞读取了加密卷中的文件，用户很可能不会发现任何异常。如果攻击者植入了恶意软件，则可能会出现系统资源占用升高或其他性能问题。"他补充道。

更令人担忧的是，微软提出的缓解方案也可能并不完全有效。安全研究员Will Dormann在一篇安全博客文章中指出，存在绕过微软所提解决方案的可能途径。在此情况下，IT管理人员无疑将密切关注微软何时能发布正式补丁。

尽管微软已表示正在研究补丁方案，Davies-Webb认为解决问题并不会一帆风顺。"我强烈怀疑这是一个有意为之的设计。"他说，"微软会考虑'如果我阻止这种情况发生，会影响哪些功能？'我高度怀疑Windows中某些功能，也许是制造环节中用到的某些功能，可能会受到补丁的影响。"

他还补充道："况且，补丁的发布可能需要相当长的时间。Windows Defender中的RedSun漏洞上个月就已被发现，但至今仍未得到修复。"

Q&A

Q1：YellowKey漏洞是什么？它会造成什么危害？

A：YellowKey是一个Windows零日漏洞，编号为CVE-2026-45585。攻击者在能够物理接触Windows设备的前提下，可利用该漏洞绕过BitLocker加密保护，从而读取和写入设备上的文件。目前该漏洞已被公开披露，且已有可用的概念验证代码，对企业数据安全构成较大威胁。

Q2：企业应该如何防范YellowKey漏洞攻击？

A：由于YellowKey漏洞需要物理接触设备才能被利用，企业应优先加强设备的物理安全管控，建立严格的访问策略，禁止设备无人看管。同时，应审计自身环境中的漏洞风险，自定义安全启动配置，确保固件和启动完整性，并限制用户在本地存储的数据量，降低数据泄露风险。

Q3：微软什么时候会发布YellowKey漏洞的正式补丁？

A：目前微软尚未确定正式补丁的发布时间，仅表示正在研究补丁的可行性，并提供了临时缓解措施。但有安全研究员指出，微软的临时方案存在被绕过的可能。此外，业内人士认为补丁开发可能较为复杂，因为修复可能影响Windows中某些现有功能，预计补丁发布仍需一段时间。