微软本周就 Windows 11 恢复环境(WinRE)中的安全漏洞 CVE-2026-45585 发布官方缓解指南。该漏洞可让攻击者通过 USB 设备绕过 BitLocker 加密,微软在提供临时修复方案的同时,公开指责发现该漏洞的安全研究员违反了协调漏洞披露最佳实践。
漏洞详情与攻击原理
该漏洞由安全研究员 Nightmare-Eclipse 发现,其发布的概念验证(PoC)利用代码被命名为 “YellowKey”。攻击者利用 WinRE 中的 “FsTx” 文件夹特性,可在系统启动早期通过 USB 设备执行恶意操作,从而绕过 BitLocker 磁盘加密保护。同期,该研究员还披露了另一项名为 “MiniPlasma” 的漏洞,可让威胁行为者植入恶意注册表修改。
微软官方缓解方案
微软在公告中提供了一套脚本作为 “临时安全修复”,旨在缩小潜在攻击面。该脚本专门针对 WinRE 环境设计,通过从 BootExecute 注册表值中移除 autofstx.exe 条目来阻止该程序在高权限环境下运行。微软说明称,脚本会挂载 WinRE 镜像,编辑其离线 SYSTEM 注册表,安全提交更改后重新密封 WinRE,以确保 BitLocker 信任链保持完整。若目标条目不存在,脚本将直接退出而不做任何修改。
披露争议与双方回应
微软在安全公告中明确指出 “该漏洞的概念验证代码已被公开,违反了协调漏洞披露最佳实践”。对此,Nightmare-Eclipse 在博客中强烈反驳,称这一指控构成对其个人声誉的诽谤。该研究员进一步披露,微软此前已撤销其 MSRC(微软安全响应中心)账户访问权限,并在其请求解释时彻底删除了该账户,且多次询问均未获 MSRC 领导层回应。目前双方各执一词,事件后续发展尚待观察。
via Neowin
