CVE-2026-45585 YellowKey深度解析：物理访问5分钟绕过BitLocker全盘加密（附完整缓解脚本与配置指南）

一、引言：2026年Windows最大的物理安全危机

2026年5月12日，安全研究员Nightmare-Eclipse（又名Chaotic Eclipse）公开了一个代号为YellowKey（黄钥匙）的零日漏洞，彻底打破了Windows 11默认BitLocker加密的物理安全防线。该漏洞允许攻击者仅通过物理接触设备+普通U盘，在5分钟内绕过BitLocker全盘加密保护，获取系统盘所有未加密数据，且全程无需密码、无需网络、无需安装任何软件。

与以往需要专业硬件或复杂技术的BitLocker绕过不同，YellowKey的利用门槛极低，公开的PoC代码几乎可以被任何人复制使用。截至2026年6月1日，微软仍未发布正式安全补丁，仅提供了临时缓解方案，全球数以亿计的Windows 11设备正面临严峻的数据泄露风险。

本文将从技术原理、攻击链复现、官方缓解措施到企业级加固方案，对YellowKey漏洞进行全面深度解析，并提供可直接使用的PowerShell脚本和配置指南。

二、漏洞基础信息与影响范围

2.1 漏洞基本档案

2.2 受影响系统

该漏洞仅存在于Windows 11及Windows Server 2025的WinRE恢复环境中，Windows 10所有版本均不受影响：

• 客户端系统：Windows 11 24H2、25H2、26H1（仅x64架构）
• 服务器系统：Windows Server 2025、Windows Server 2025 Core

2.3 攻击前置条件

1. 攻击者可物理接触目标设备（设备丢失、被盗、现场无人看管等场景）
2. 目标设备使用TPM仅模式的BitLocker加密（Windows 11默认配置）
3. 目标设备未禁用WinRE恢复环境
4. 准备一枚普通NTFS/FAT格式U盘

三、漏洞原理深度解析

3.1 BitLocker TPM仅模式的工作机制

要理解YellowKey漏洞，首先需要了解BitLocker默认的TPM仅模式工作原理：

BitLocker是Windows原生的全卷加密技术，其核心安全依赖于主板上的TPM 2.0安全芯片。在TPM仅模式下：

1. 系统安装时，BitLocker生成卷主密钥(VMK)并加密存储在TPM芯片中
2. 开机时，TPM会验证系统启动链的完整性（BIOS/UEFI、bootloader、内核等）
3. 如果启动链未被篡改，TPM自动释放VMK，系统完成解密并正常启动
4. 整个过程无需用户输入任何密码或密钥

微软设计这一模式的初衷是为了提升用户体验，让加密过程对用户完全透明。但这也埋下了一个隐患：只要能进入受信任的启动环境，就能自动获得解密后的磁盘访问权限。

3.2 WinRE恢复环境的设计缺陷

YellowKey漏洞的根源在于Windows恢复环境(WinRE)的两个关键设计缺陷：

缺陷一：WinRE自动解锁TPM保护的系统盘
当系统启动进入WinRE时，会执行与正常启动完全相同的TPM验证流程。如果验证通过，WinRE会自动解锁BitLocker加密的系统盘并挂载为只读模式，以便恢复工具能够访问和修复系统文件。

缺陷二：autofstx.exe的权限隔离缺失
WinRE内置了一个名为autofstx.exe的工具，全称是"FsTx自动恢复实用程序"。它的作用是在系统启动时自动扫描所有挂载卷（包括外接U盘）中的\System Volume Information\FsTx目录，并重放其中的事务性NTFS(TxF)日志，以修复可能的文件系统损坏。

问题在于：

• autofstx.exe以SYSTEM最高权限运行
• 它会无条件重放任何外接存储设备中的TxF日志
• 重放操作可以修改本地系统盘上的文件，而不仅仅是日志所在的U盘

3.3 完整攻击链流程图

攻击者准备恶意U盘 ↓ 在U盘根目录创建\System Volume Information\FsTx目录 ↓ 写入包含"删除winpeshl.ini"指令的恶意TxF日志 ↓ 将U盘插入目标设备 ↓ 通过Shift+重启进入WinRE恢复环境 ↓ WinRE自动运行autofstx.exe ↓ autofstx.exe重放U盘内的恶意TxF日志 ↓ 以SYSTEM权限删除WinRE系统盘上的winpeshl.ini ↓ 重启设备并按住Ctrl键 ↓ WinRE因配置文件缺失，直接弹出SYSTEM级命令行 ↓ 系统盘已自动解锁，攻击者可访问所有数据

3.4 关键技术点：TxF事务日志

事务性NTFS(TxF)是Windows Vista引入的文件系统功能，它允许将多个文件操作组合成一个原子事务，要么全部成功，要么全部失败。TxF日志文件存储在每个卷的\System Volume Information\FsTx目录下，记录了所有未提交的文件系统事务。

YellowKey漏洞利用的正是TxF日志的重放机制。攻击者可以在自己的电脑上创建一个包含特定文件删除操作的TxF事务，然后将生成的日志文件复制到U盘中。当WinRE中的autofstx.exe重放这个日志时，就会在目标系统上执行相同的文件删除操作。

四、完整攻击链复现步骤

以下是YellowKey漏洞的完整复现步骤（仅用于安全研究目的）：

步骤1：制作恶意U盘

1. 准备一个空U盘，格式化为NTFS或FAT32格式
2. 在U盘根目录创建System Volume Information文件夹
3. 在该文件夹内创建FsTx子文件夹
4. 将公开PoC中的恶意TxF日志文件复制到FsTx目录下

步骤2：触发漏洞

1. 将恶意U盘插入目标Windows 11设备
2. 按住Shift键，同时点击"开始"菜单中的"重启"按钮
3. 系统将自动进入WinRE恢复环境
4. 等待WinRE加载完成，系统会自动重启
5. 在重启过程中按住Ctrl键不放
6. 系统将直接弹出一个黑色的命令提示符窗口

步骤3：访问加密数据

此时弹出的命令提示符运行在SYSTEM权限下，并且BitLocker加密的系统盘已经被自动解锁并挂载为C:盘。攻击者可以执行以下操作：

# 查看系统盘所有文件 dir C:\ # 复制用户文档到U盘 xcopy C:\Users\用户名\Documents D:\备份 /E /H /R # 导出系统注册表 reg export HKLM\SYSTEM D:\system.reg reg export HKLM\SAM D:\sam.reg

整个攻击过程耗时不超过5分钟，且几乎没有任何日志残留，PoC中的恶意文件会在执行后自动删除。

五、微软官方临时缓解方案详解

在正式补丁发布前，微软于2026年5月20日发布了官方临时缓解方案，核心思路是禁用WinRE中的autofstx.exe程序，从根源切断漏洞利用路径。

5.1 官方PowerShell缓解脚本

以下是微软官方提供的PowerShell脚本，可一键完成缓解操作：

<# .SYNOPSIS 从WinRE的BootExecute注册表值中移除autofstx.exe .DESCRIPTION 此脚本用于缓解CVE-2026-45585 YellowKey漏洞 它会挂载WinRE镜像，修改其注册表，然后重新建立BitLocker信任 .NOTES 必须以管理员身份运行 此修改不会影响系统正常使用 微软正式补丁发布后会自动保留此缓解措施 #># 检查管理员权限if(-not([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)){Write-Error"请以管理员身份运行此脚本"exit1}# 检查WinRE是否启用$reagentcOutput= reagentc/infoif($reagentcOutput-match"Windows RE 状态:.*已禁用"){Write-Host"WinRE已禁用，无需应用此缓解措施"exit0}# 挂载WinRE镜像mkdir C:\WinREMount-Force|Out-Nulldism/mount-wim/wimfile:C:\Recovery\WindowsRE\winre.wim/index:1/mountdir:C:\WinREMount# 加载WinRE的SYSTEM注册表配置单元reg load HKLM\WinRE_SYSTEM C:\WinREMount\Windows\System32\config\SYSTEM# 读取当前BootExecute值$bootExecute=Get-ItemProperty-Path"HKLM:\WinRE_SYSTEM\ControlSet001\Control\Session Manager"-Name"BootExecute"|Select-Object-ExpandProperty BootExecute# 移除autofstx.exe条目$newBootExecute=$bootExecute|Where-Object{$_-ne"autofstx.exe"}# 写回修改后的值Set-ItemProperty-Path"HKLM:\WinRE_SYSTEM\ControlSet001\Control\Session Manager"-Name"BootExecute"-Value$newBootExecute# 卸载注册表配置单元reg unload HKLM\WinRE_SYSTEM# 卸载并提交WinRE镜像dism/unmount-wim/mountdir:C:\WinREMount/commit# 重新建立WinRE的BitLocker信任reagentc/disable reagentc/enable# 清理临时目录rmdirC:\WinREMount-ForceWrite-Host"缓解措施已成功应用"Write-Host"请重启电脑使更改生效"

5.2 脚本执行说明

1. 将上述代码保存为Remove-AutoFsTxFromWinRE.ps1
2. 右键点击开始菜单，选择"Windows PowerShell(管理员)"
3. 执行以下命令允许脚本运行：

   Set-ExecutionPolicyRemoteSigned-Scope CurrentUser

4. 运行脚本：

   .\Remove-AutoFsTxFromWinRE.ps1

5. 重启电脑使更改生效

5.3 企业批量部署

对于企业环境，可以通过以下方式批量部署此缓解措施：

• 使用Microsoft Intune将脚本推送到所有受影响设备
• 使用组策略的"启动脚本"功能执行
• 使用SCCM/MECM进行大规模部署

微软确认，此缓解措施不会影响系统的正常功能和恢复能力，且在正式补丁发布后无需回滚，补丁会自动保留此修改。

六、最佳实践：TPM+PIN模式完整配置指南

虽然禁用autofstx.exe可以有效缓解YellowKey漏洞，但将BitLocker从TPM仅模式切换为TPM+PIN模式才是最彻底、最长期的解决方案。TPM+PIN模式要求用户在开机时输入PIN码才能解锁磁盘，即使攻击者能够物理接触设备，也无法绕过身份验证。

6.1 个人用户配置步骤

前置要求

1. 设备主板已启用TPM 2.0芯片（Windows 11标配）
2. 当前BitLocker已开启
3. 拥有管理员权限
4. 已备份BitLocker恢复密钥（至关重要！）

配置步骤

1. 打开控制面板，进入【系统和安全】→【BitLocker驱动器加密】
2. 找到已加密的系统盘（通常是C:盘），点击【更改启动时的解锁方式】
3. 在弹出的窗口中，选择需要PIN才能启动
4. 输入并确认您的PIN码（建议使用6位以上数字，或启用增强PIN使用字母数字组合）
5. 点击【设置PIN】按钮完成配置
6. 重启电脑验证配置是否生效

6.2 启用增强PIN（字母数字组合）

默认情况下，BitLocker PIN只能使用数字。如果需要更高的安全性，可以启用增强PIN，允许使用字母、数字和特殊字符：

1. 按Win+R键，输入gpedit.msc打开本地组策略编辑器
2. 导航到：计算机配置→管理模板→Windows组件→BitLocker驱动器加密→操作系统驱动器
3. 双击右侧的允许用于启动的增强PIN策略
4. 选择已启用，然后点击【确定】
5. 按照上述步骤重新设置PIN码，此时就可以使用字母数字组合了

6.3 企业级组策略批量配置

对于企业环境，可以通过组策略强制所有设备使用TPM+PIN模式：

1. 在域控制器上打开组策略管理控制台

2. 创建一个新的组策略对象并链接到相应的OU

3. 编辑组策略，导航到：

   计算机配置\管理模板\Windows组件\BitLocker驱动器加密\操作系统驱动器

4. 配置以下策略：

   策略名称	推荐值	说明
   启动时需要额外的身份验证	已启用	强制使用TPM+PIN
   配置TPM启动PIN	使用TPM时需要启动PIN	不允许仅TPM模式
   允许用于启动的增强PIN	已启用	允许使用字母数字PIN
   为启动配置最小PIN长度	已启用，最小长度8位	提高PIN强度
   将BitLocker恢复信息存储在Active Directory中	已启用	自动备份恢复密钥到AD

5. 刷新客户端组策略：

   gpupdate /force

七、漏洞影响评估与风险分析

7.1 不同场景的风险等级

7.2 对企业的影响

YellowKey漏洞对企业的影响尤为严重：

• 数据泄露风险：员工笔记本电脑丢失或被盗后，企业敏感数据（客户信息、财务数据、知识产权等）将完全暴露
• 合规风险：许多行业法规（如GDPR、HIPAA、PCI DSS）要求对敏感数据进行有效加密，此漏洞可能导致企业违反合规要求
• 取证困难：攻击过程几乎没有日志残留，难以追踪和调查
• 业务中断：攻击者不仅可以读取数据，还可以修改系统文件，植入恶意软件，导致业务中断

7.3 常见误区澄清

• ❌误区一：YellowKey破解了AES加密算法
  ✅事实：YellowKey没有破解任何加密算法，它只是绕过了身份验证机制，直接获取了已经解密的磁盘访问权限

• ❌误区二：Windows 10也会受到影响
  ✅事实：此漏洞仅存在于Windows 11和Windows Server 2025的WinRE中，Windows 10完全不受影响

• ❌误区三：TPM+PIN模式也能被绕过
  ✅事实：微软和多位独立安全研究人员已确认，TPM+PIN模式完全不受此漏洞影响

• ❌误区四：禁用USB端口可以防止攻击
  ✅事实：攻击者还可以通过修改EFI分区来植入恶意TxF日志，禁用USB端口不能完全防范此漏洞

八、前瞻性思考：WinRE安全设计的反思

YellowKey漏洞的爆发，暴露了微软在WinRE安全设计上的重大缺陷，也引发了业界对Windows恢复环境安全性的广泛讨论。

8.1 过度信任本地存储

WinRE的设计理念是"帮助用户修复无法启动的系统"，因此它被赋予了极高的权限，并且过度信任本地存储设备。微软显然没有考虑到，物理攻击者可以利用这种信任来绕过安全机制。

未来的WinRE设计应该遵循最小权限原则：

• 只有在用户明确授权的情况下，才能解锁BitLocker加密盘
• 禁止自动处理外接存储设备中的文件系统日志
• 对恢复环境中的所有操作进行严格的权限控制和审计

8.2 TPM仅模式的安全局限性

YellowKey漏洞再次证明，TPM仅模式不足以提供足够的物理安全保护。虽然它可以防止硬盘被移除后在其他电脑上读取，但无法防止攻击者在原设备上利用系统漏洞绕过加密。

微软应该重新考虑BitLocker的默认配置：

• 将TPM+PIN作为新设备的默认加密模式
• 简化PIN码的设置流程，降低用户使用门槛
• 提供更灵活的身份验证选项，如生物识别、智能卡等

8.3 恢复环境的安全隔离

WinRE作为一个独立的操作系统，应该与主系统进行更严格的安全隔离：

• 使用单独的密钥加密WinRE镜像
• 禁止WinRE访问主系统的敏感数据
• 对WinRE中的所有工具进行沙箱化处理

九、常见问题解答

Q1：我已经禁用了WinRE，还需要应用其他缓解措施吗？

A：如果您已经完全禁用了WinRE恢复环境，那么您的设备不会受到YellowKey漏洞的影响。但请注意，禁用WinRE会导致您无法使用系统恢复功能，如系统还原、自动修复等。

Q2：应用了微软的缓解脚本后，还需要切换到TPM+PIN模式吗？

A：虽然微软的缓解脚本可以有效防止YellowKey漏洞，但我们仍然强烈建议您切换到TPM+PIN模式。这不仅可以防范此漏洞，还可以提高BitLocker的整体安全性，防范未来可能出现的其他物理攻击。

Q3：如果我忘记了PIN码怎么办？

A：如果您忘记了PIN码，可以使用BitLocker恢复密钥来解锁系统。因此，在设置PIN码之前，一定要确保已经备份了恢复密钥。建议将恢复密钥打印出来并保存在安全的地方，不要存储在电脑上。

Q4：微软什么时候会发布正式补丁？

A：截至2026年6月1日，微软尚未公布正式补丁的发布日期。微软表示正在积极开发补丁，并将在完成测试后通过Windows Update推送。建议您持续关注微软安全公告。

Q5：此漏洞可以被远程利用吗？

A：不可以。YellowKey漏洞只能在物理接触设备的情况下被利用，无法通过网络远程攻击。

十、总结与后续关注

YellowKey漏洞（CVE-2026-45585）是近年来影响最广泛的BitLocker绕过漏洞，它利用Windows恢复环境的设计缺陷，让物理攻击者可以轻易绕过默认配置的BitLocker加密保护。

在微软发布正式补丁之前，所有使用Windows 11 24H2/25H2/26H1和Windows Server 2025的用户都应该立即采取以下防护措施：

1. 优先将BitLocker从TPM仅模式切换为TPM+PIN模式（最彻底的解决方案）
2. 如果暂时无法切换，运行本文提供的微软官方PowerShell脚本禁用autofstx.exe
3. 加强设备的物理安全管理，避免设备丢失或无人看管
4. 定期备份重要数据，以防万一

我们将持续关注微软的补丁发布动态，并在第一时间更新本文内容。同时，也建议企业安全团队加强对物理安全的重视，建立完善的设备管理和数据保护体系。