La vulnerabilità BitLocker chiamata YellowKey è stata resa pubblica il 19 maggio 2026 da un ricercatore anonimo noto come Nightmare Eclipse, e da quel momento Microsoft si è trovata a gestire un’emergenza seria. Il proof-of-concept è su GitHub, verificato e funzionante. La patch ufficiale non esiste ancora.
ADS
Hai 60 secondi? Ascolta il riassunto audio.
Quello che rende questa vulnerabilità BitLocker particolarmente fastidiosa è la semplicità dell’attacco. Non serve essere un esperto. Basta una chiavetta USB, un riavvio, e pochi minuti da soli con il dispositivo preso di mira.
Cos’è la vulnerabilità BitLocker YellowKey
CVE-2026-45585 è il codice ufficiale assegnato da Microsoft a questa falla, con un punteggio CVSS di 6.8. Il problema non sta nella crittografia in sé, ma nell’ambiente di recovery WinRE che si avvia prima del sistema operativo. Durante la sequenza pre-boot, YellowKey sfrutta un file chiamato autofstx.exe presente nell’immagine WinRE per aprire una shell con accesso completo al volume cifrato. Risultato: chi ha il PC in mano per qualche minuto può leggere, copiare o modificare tutti i file protetti da BitLocker, senza password e senza lasciare tracce evidenti.
Quali sistemi sono colpiti
La vulnerabilità BitLocker interessa Windows 11 nelle versioni 24H2, 25H2 e 26H1, oltre a Windows Server 2025nelle versioni standard e Server Core. Le configurazioni piu esposte sono quelle con BitLocker attivo in modalità TPM-only, cioè senza un PIN aggiuntivo. Chi usa un laptop aziendale con dati sensibili e non ha aggiunto un PIN al proprio setup dovrebbe muoversi subito.
ADS
Leggi anche
Aggiornamento Windows 11 maggio 2026: fix BitLocker, sicurezza e novità di KB5089549Con l’aggiornamento Windows 11 maggio 2026 Microsoft ha rilasciato ieri il Patch Tuesday maggio 2026, il pacchetto mensile per Windows 11 e Windows 10.
Come proteggersi adesso
Microsoft ha pubblicato istruzioni di mitigazione in attesa della patch definitiva. Il metodo tecnico consiste nel montare l’immagine WinRE, aprire il registro di sistema e rimuovere il valore autofstx.exe dalla chiave BootExecute del Session Manager, poi salvare l’immagine modificata e ristabilire la fiducia BitLocker per WinRE.
L’alternativa piu rapida è aggiungere un PIN alla configurazione BitLocker. Qui pero c’è una complicazione: Nightmare Eclipse ha dichiarato di avere in mano un secondo exploit capace di bypassare anche la protezione TPM+PIN, che non ha ancora rilasciato. Questo significa che nessuna delle due mitigazioni offre una garanzia completa al momento.
La contromisura piu concreta a breve termine resta limitare l’accesso fisico ai dispositivi. YellowKey richiede che l’attaccante sia fisicamente presente con il PC.
ADS
Chi ha scoperto YellowKey e perché lo ha pubblicato
Nightmare Eclipse, noto anche come Chaotic Eclipse, ha scelto di rendere pubblica questa vulnerabilità BitLockersenza seguire le pratiche standard di coordinated disclosure, probabilmente per frustrazione nei confronti dei tempi di risposta di Microsoft. Non è la prima volta: in passato aveva già pubblicato altri zero-day Windows senza preavviso, tra cui BlueHammer e RedSun. Microsoft ha confermato la falla definendo la pubblicazione del PoC una violazione delle best practice del settore, ma nel frattempo ha dovuto correre a pubblicare le mitigazioni.
Proteggi la tua connessione con una VPN affidabile: naviga sicuro anche sulle reti pubbliche.
Usa il codice MREFN per uno sconto esclusivo.
Scopri la VPN su GamsGoPerché ti dovrebbe interessare?
Se usi Windows 11 con BitLocker attivo e porti il laptop fuori casa o in ufficio, questa storia ti riguarda. Un dispositivo lasciato incustodito per pochi minuti, in aeroporto, in un coworking o in una sala riunioni, potrebbe bastare. Segui le istruzioni di mitigazione di Microsoft, valuta di aggiungere un PIN a BitLocker, e tieni d’occhio il rilascio della patch ufficiale per CVE-2026-45585.
ADS
Commento all'articolo