[security] [os] BitLocker Bypass 【TPMs】

参考文献： https://github.com/Nightmare-Eclipse/YellowKey https://github.com/Ap3xPr3d/YellowKey-Primer

相关文件下载： https://pan.quark.cn/s/c50ee53187e1

github repo 可能已经删除

原理解析：称为 YellowKey (CVE-2026-45585) 的 Windows 零日漏洞的触发方法。该漏洞于 2026 年 5 月由化名为 Nightmare-Eclipse（或 Chaotic Eclipse）的安全研究人员公开，主要影响 Windows 11 以及 Windows Server 2022/2025 操作系统。

这是一个针对 BitLocker 安全机制的绕过漏洞。以下是该操作背后导致系统被攻破的核心原理分析：

触发恢复环境 (WinRE) 与脆弱组件当你在 Windows 登录界面或启动时“按住 SHIFT 重启”，系统会被强制引导至 Windows 恢复环境 (WinRE)。在 WinRE 启动的早期阶段，注册表配置会使得系统自动运行一个名为 autofstx.exe（FsTx 自动恢复实用程序）的组件。
跨卷处理事务日志 autofstx.exe 的正常功能是在系统启动恢复期间处理“事务性 NTFS” (TxF) 的日志文件。然而，该组件存在一个严重的逻辑缺陷：它会盲目地读取并处理所有已连接驱动器上的 TxF 日志，包括你插入的那个未加密的 U 盘。
恶意日志重放与文件删除攻击者要求将 FsTx 文件夹放入 U 盘的 System Volume Information 目录中，这个文件夹内实际上包含了特制构造的恶意 TxF 日志文件。当 autofstx.exe 读取到这些日志时，会触发跨卷事务重放机制。这些恶意日志的核心指令是去删除 WinRE 系统盘内部的一个关键文件：System32\winpeshl.ini。
外壳降级与权限提升 winpeshl.ini 文件负责控制 WinRE 启动时应该加载哪个图形化恢复界面或受限程序。一旦该文件被恶意日志成功删除，WinRE 就失去了正常的启动配置。作为一种容错后备机制，系统会直接退回到最基础的状态：弹出一个具有最高 SYSTEM 权限的命令提示符窗口 (cmd.exe)。
TPM 自动解锁导致数据暴露为什么这会绕过 BitLocker 呢？因为在默认的“仅 TPM (TPM-only)”配置下，受信任的平台模块 (TPM) 芯片在启动初期就已经验证了环境，并透明地释放了主密钥，自动解锁了系统盘。因此，当带有 SYSTEM 权限的 cmd.exe 弹出时，底层的 BitLocker 加密卷已经是解密状态。此时，攻击者无需输入任何密码或 BitLocker 恢复密钥，就可以通过命令行自由读取、修改或复制电脑硬盘中的所有数据。

总结：这个方法利用了 Windows 恢复环境中日志处理机制的缺陷，通过伪造的 U 盘日志跨盘删除了恢复环境的关键配置文件，迫使系统提供了一个拥有最高权限的命令行窗口，从而在 TPM 自动解密硬盘的窗口期内直接“接管”了受 BitLocker 保护的数据。目前微软已针对此漏洞发布了缓解措施，通过修改 WinRE 镜像禁用了 autofstx.exe 的自动启动。