激ヤバ過ぎるのよ。こんなの意図的なバックドアだぞ。 "再現方法は簡単で、同氏がGitHub上で公開しているFsTxフォルダの中身を、別途用意したNTFS(FAT32/exFATでも動作する可能性がある)でフォーマットされたUSBメモリの\System Volume Information\FsTxフォルダにコピー。そしてそのUSBメモリを、BitLocker適用済みのPCに接続してWinREを起動(Windows起動後の画面なら、Shiftキーを押しながらマウスでPCの再起動ボタンを押す)。起動時にCtrlキーを押したままにすると、BitLockerで保護されたボリュームへ無制限アクセスできるシェルが起動する"

يكشف التقرير عن تصاعد التوتر بين مايكروسوفت والباحث الأمني المعروف باسم Nightmare‑Eclipse، بعد نشره تفاصيل ثغرة خطيرة في بيئة استعادة ويندوز WinRE تسمح بتجاوز حماية BitLocker باستخدام وحدة USB عبر استغلال مجلد FsTx . مايكروسوفت أصدرت هذا الأسبوع إرشادات تخفيف مؤقتة تتضمن سكربت يقوم بإزالة ملف autofstx.exe من قيمة BootExecute داخل سجل النظام في صورة WinRE، بهدف منع تشغيله في مرحلة مبكرة عالية الامتياز وتقليل مساحة الهجوم. الشركة أكدت أن السكربت آمن ويغادر دون تعديل إذا لم يكن الملف موجودا أصلا . لكن خلف الكواليس، بدا أن مايكروسوفت غير راضية عن نشر الباحث للثغرة، معتبرة أن نشر إثبات المفهوم YellowKey خالف ممارسات الإفصاح المنسق. الباحث رد بغضب عبر مدونته، متهما الشركة بتشويه سمعته، وإلغاء وصوله إلى حسابه في منصة MSRC دون تفسير، وترك طلباته المتكررة دون رد. وأكد أنه يأخذ تصريحات مايكروسوفت بشكل شخصي، محملا الشركة مسؤولية ما حدث منذ البداية . الخلاف يعكس فجوة متزايدة بين الباحثين الأمنيين والشركات الكبرى حول آليات الإفصاح، فيما تبقى ثغرة YellowKey وMiniPlasma مؤشرا على تحديات أمنية مستمرة في ويندوز 11، بانتظار ما ستؤول إليه المواجهة بين الطرفين. #تقنية

CVE-2026-45585 (CVSS 6.8) "YellowKey" bypasses BitLocker via Windows Recovery Environment using crafted FsTx files on USB/EFI. Affects Windows 11 24H2 and Server 2025. Apply Microsoft's WinRE mitigation or switch to TPM PIN authentication. #DFIR_Radar

微软发布用于缓解 Microsoft #BitLocker 加密绕过的脚本，该漏洞目前已经被公开，用户部署缓解脚本后可以提高安全性。该漏洞会利用 WinRE 绕过加解密流程访问加密硬盘中的文件，缺陷根源在 FsTx 自动恢复实用程序权限太高，缓解脚本会从 WinRE 里删除该脚本的启动。查看详情：ourl.co/113016?x

الجهات الي تستخدم BitLocker عندي لكم خبر سيء … 😆 Nightmare-Eclipse رجع من جديد الباحث Nightmare-Eclipse نشر PoC على GitHub لثغرة YellowKey (CVE-2026-45585) الثغره تتجاوز حماية BitLocker في Windows 11 شروط استغلال الثغرة 🔹 الهجوم يحتاج وصول فيزيائي أو تعديل EFI partition 🔹 يضع ملفات FsTx في USB (Transactional NTFS) 🔹ـ WinRE يقراها ويمسح ملف winpeshl.ini 🔹 بدال شاشة طلب مفتاح BitLocker - يفتح CMD والهارديسك غير مشفر

MicrosoftがBitLocker回避ゼロデイ「YellowKey」への緩和策を公開した。CVE-2026-45585として追跡されるこの欠陥は、USB経由でBitLocker保護を突破し、暗号化ドライブへ無制限アクセスできる危険がある。 YellowKeyは研究者Chaotic Eclipse（Nightmare-Eclipse）により公開された。攻撃者は細工した「FsTx」ファイルをUSBやEFIパーティションへ配置し、対象PCをWindows Recovery Environment（WinRE）で起動後、CTRLキー操作だけでシェルを取得できる。成功するとBitLocker保護済みボリュームへ直接アクセス可能になる。 影響を受けるのはWindows 11 24H2、25H2、26H1、およびWindows Server 2025系だ。Microsoftは、このPoC公開が「協調的脆弱性開示のベストプラクティスに違反している」と指摘している。 Microsoftは正式パッチではなく暫定緩和策を提供した。WinREイメージ内のレジストリを変更し、「autofstx.exe」の自動起動を無効化することで攻撃経路を遮断する。また、BitLockerを「TPMのみ」構成から「TPM＋PIN」へ変更することも推奨している。 Will Dormann氏によれば、この変更によりTransactional NTFSリプレイ処理が阻止され、YellowKey攻撃を防げるという。新規導入環境でも「起動時追加認証」を必須化し、TPM＋PIN運用へ移行するよう勧告されている。 thehackernews.com/2026/05/mi…

先日紹介したBitLockerバイパスのゼロデイ「YellowKey」に、MicrosoftがCVE-2026-45585を採番しました。あわせて、パッチ提供までの暫定緩和策も公開。 YellowKeyはWinRE起動時のNTFSトランザクション自動再生がwinpeshl[.]iniを削除してしまう挙動を突くもので、緩和策はこの自動再生を止めることが軸になっています。 修正パッチの提供時期は未定で、現時点では暫定緩和策による対処が推奨されている形。 【要点の整理】 ・緩和策は2段階。まずセッションマネージャーのBootExecuteレジストリ値からautofstx[.]exeのエントリを削除してWinRE起動時のFsTx自動復旧を無効化し、続いてWinREに対するBitLocker信頼関係を再構築する流れ ・Tharrosの脆弱性研究者Will Dormannは、この変更でwinpeshl[.]iniを削除するトランザクション再生が発生しなくなる仕組みだと説明 ・暗号化済みの端末では、BitLocker構成をTPMのみからTPM＋PINへ変更することも推奨。Microsoftは起動時のPIN入力でYellowKeyの攻撃を阻止できるとしているが、研究者本人はTPM＋PIN環境でも悪用可能な未公開版の存在を主張 ・まだ暗号化していない端末では、Intuneまたはグループポリシーで「起動時の追加認証を要求する」を有効にする手順が案内 詳細は以下を参照： bleepingcomputer.com/news/mi…

🚨 فيديو إثبات (PoC) يُظهر استغلال ثغرة جديدة باسم "YellowKey" تتجاوز حماية BitLocker كاملةً على نظام Windows. 🔹 الفيديو يوضّح خطوة بخطوة طريقة الاستغلال: 1- نسخ مجلد FsTx إلى ذاكرة USB 2- الدخول إلى وضع Windows Recovery Environment 3- تنفيذ تركيبة مفاتيح (SHIFT CTRL) للحصول على Shell بصلاحيات كاملة على القرص المشفّر دون الحاجة لكلمة مرور أو مفتاح استرداد Credit: @DarkWebInformer

ادعای کاشف آسیب‌پذیری YellowKey: مایکروسافت عمداً در بیت‌لاکر «درِ پشتی» گذاشته است؟‍! چند روز پیش در نوشدارو خبر از کشف آسیب‌پذیری خطرناکی به نام YellowKey دادیم که امکان دور زدن رمزنگاری بیت‌لاکر (BitLocker) را در ویندوز ۱۱ تنها با یک حافظه‌ی فلش فراهم می‌کرد؛ اکنون ابعاد جدید و جنجالی‌تری از این ماجرا فاش شده است. محقق امنیتی کاشف این باگ اکنون مدعی شده که این نقص یک اشتباه برنامه‌نویسی نبوده، بلکه مایکروسافت عمداً این «درِ پشتی» (Backdoor) را درون سیستم تعبیه کرده است. ▪️ ماجرا چیست؟ این پژوهشگر، YellowKey را یکی از دیوانه‌وارترین نقص‌هایی توصیف کرده که تاکنون با آن روبه‌رو شده است. به گفته‌ی او، این آسیب‌پذیری با کپی کردن پوشه‌ای به نام «FsTx» در یک حافظه فلش (یا مستقیماً در پارتیشن EFI ویندوز) و طی کردن مراحلی در محیط بازیابی ویندوز (WinRE) فعال می‌شود. سپس مستقیماً یک محیط خط فرمان را با دسترسی نامحدود به درایوهای قفل‌شده‌ی بیت‌لاکر، بدون نیاز به هیچ‌گونه پسوردی، در اختیار فرد قرار می‌دهد. دلیل اصلی این پژوهشگر برای عمدی خواندن این باگ، ماهیت کامپوننتی است که باعث بروز آن می‌شود. این کامپوننت تنها در ایمیج رسمی WinRE مایکروسافت وجود دارد. این پژوهشگر می‌گوید: «نمی‌توانم هیچ توضیح منطقی دیگری جز عمدی بودن این اتفاق پیدا کنم. نکته‌ی عجیب دیگر این است که به دلایل نامعلوم، تنها ویندوز ۱۱ و ویندوز سرور ۲۰۲۲/۲۰۲۵ تحت تاثیر این باگ هستند و ویندوز ۱۰ آسیب‌پذیر نیست.» گزارش‌ها حاکی از آن است که محققان شخص ثالث نیز صحت عملکرد YellowKey را تأیید کرده‌اند. ▪️ در آخر: توصیه‌های امنیتی و راهکارهای جایگزین با مطرح شدن ادعای وجود درِ پشتی در مکانیزم‌های رمزنگاری مایکروسافت، متخصصان امنیتی به کاربرانی که داده‌های بسیار حساس دارند پیشنهاد می‌کنند که بر هیچ سیستم رمزنگاری واحدی اتکای کامل نداشته باشند. در کنار رعایت نکات امنیتی فیزیکی که در مطلب پیشین نوشدارو ذکر شد، استفاده از نرم‌افزارهای رمزنگاری جایگزین، متن‌باز و بررسی‌شده‌ای مانند VeraCrypt می‌تواند انتخاب امن‌تری برای محافظت از اطلاعات مهم باشد. ✍️ دانیال طبایی #خبر_و_تحلیل

If a hardware-backed TPM automatically unseals encryption keys based on an unverified USB folder path, did Microsoft design a recovery feature or did they accidentally ship a back door? YellowKey is a proof-of-concept that exploits a logical flaw within the Windows Recovery Environment (WinRE) inside SafeOS on Windows 11 and Windows Server 2022/2025. By placing a custom structure inside the System Volume Information\FsTx path on a USB drive and manipulating boot timing via keyboard inputs, it forces the system to treat the interaction as a legitimate update process. ✅ Bypasses default TPM-only BitLocker configurations through pure software and logical file structure manipulation. ✅ Eliminates the need for traditional hardware-based LPC/SPI bus sniffing tools or physical soldering. ✅ Drops directly into an unrestricted NT AUTHORITY\SYSTEM command prompt with full access to the mounted volume. ✅ Demonstrates the exact race condition mechanisms within C/C and Windows API initialization code. The repository has already crossed 3243 stars on GitHub, highlighting widespread concern and engineering interest regarding Windows boot security chain integrity 👇 REPOO 👇

Acaba de publicarse YellowKey, un proof-of-concept que demuestra una forma extremadamente simple de evadir BitLocker en Windows 11. El investigador Nightmare-Eclipse lo subió a GitHub hace pocos días y ya está generando un debate intenso en la comunidad de seguridad. No se trata de un exploit remoto ni de algo que requiera herramientas sofisticadas. Basta con copiar una carpeta a un USB y presionar una tecla en el momento adecuado durante el reinicio. BitLocker es la solución de cifrado de disco completo de Microsoft. En la mayoría de las implementaciones modernas de Windows 11, especialmente las que usan solo TPM sin PIN adicional, el volumen se desbloquea automáticamente cuando el hardware es reconocido como confiable. Esta configuración protege contra robos clásicos donde el atacante no puede arrancar el sistema o extraer el disco físicamente. [YellowKey] rompe esa suposición de forma directa. El mecanismo es el siguiente: El repositorio incluye una carpeta llamada FsTx. El atacante la copia a la ruta System Volume Information\FsTx dentro de una unidad USB (NTFS es lo más estable, aunque FAT32 y exFAT también pueden funcionar). Se inserta el USB en el equipo objetivo con BitLocker activado. Luego se reinicia manteniendo presionada la tecla Shift para entrar al Entorno de Recuperación de Windows (WinRE). En el instante preciso en que aparece la pantalla de reinicio, se suelta Shift y se mantiene presionada la tecla CTRL. Si el timing es correcto, se abre un símbolo del sistema con acceso completo y sin restricciones al volumen cifrado. Desde esa shell es posible usar diskpart, montar el disco y leer o copiar cualquier archivo como si el cifrado no existiera. El componente FsTx, que forma parte de la imagen de WinRE, es tratado como confiable por el entorno de recuperación. El exploit aprovecha esa confianza para que el sistema crea que está ejecutando una operación legítima de reparación o actualización. En ese momento el TPM entrega la clave de BitLocker al proceso, y el atacante obtiene acceso total. Lo más llamativo es que esta vulnerabilidad solo afecta a Windows 11 y a Windows Server 2022/2025. Windows 10 no presenta el mismo comportamiento. El código vulnerable reside exclusivamente dentro de la imagen de WinRE y no en la instalación normal del sistema operativo. Esa separación tan clara es una de las razones por las que el investigador especula públicamente con la posibilidad de que se trate de funcionalidad intencional más que de un error accidental. Varios investigadores independientes ya han reproducido el ataque y confirmado que funciona tal como se describe. Es importante dejar claro el alcance real del problema. YellowKey requiere acceso físico al dispositivo. No es un exploit de red, no se propaga solo y no permite ejecución remota de código. Sin embargo, cualquier escenario en el que un atacante pueda conectar un USB y forzar un reinicio (robos de laptops, dispositivos dejados en escritorios, auditorías de seguridad física, ingeniería social en oficinas) convierte a BitLocker en una protección mucho menos efectiva de lo que se asumía. WinRE existe precisamente para permitir recuperación cuando el sistema falla. Que un componente de ese entorno de confianza pueda ser abusado de forma tan limpia para extraer claves del TPM plantea preguntas más amplias sobre la cadena de confianza en el arranque y la recuperación de Windows. Los componentes firmados por Microsoft que corren en SafeOS/WinRE suelen recibir menos escrutinio público que el kernel principal, y este caso lo demuestra. El mismo investigador también publicó GreenPlasma, otro exploit enfocado en escalada de privilegios, aunque con menos detalles públicos por el momento. Ambos fueron divulgados de forma abierta después de lo que parece haber sido un proceso de reporte insatisfactorio con Microsoft. Hasta el momento no existe parche disponible. En la práctica, ¿qué significa esto para usuarios y organizaciones que dependen de BitLocker? Las configuraciones que usan solo TPM sin PIN o contraseña adicional son las más expuestas. Agregar un PIN de desbloqueo sigue siendo una recomendación válida, aunque no elimina por completo el riesgo contra un atacante físico determinado que conozca el truco. La seguridad física de los dispositivos sigue siendo la primera línea de defensa, como siempre lo ha sido con cualquier ataque de acceso físico. Otras medidas que vale la pena considerar incluyen revisar políticas de control de puertos USB, evaluar si WinRE puede deshabilitarse en entornos muy controlados (aunque esto impacta la capacidad de recuperación), y complementar BitLocker con controles adicionales cuando se manejan datos de alta sensibilidad. Ninguna solución de cifrado es perfecta frente a un atacante que ya tiene acceso físico prolongado, pero YellowKey reduce drásticamente el esfuerzo necesario para extraer datos. Este tipo de hallazgos recuerda que la seguridad en sistemas operativos complejos es un proceso continuo de descubrimiento y respuesta. La pregunta que queda abierta es cómo responderá Microsoft y cuánto tiempo tomará mitigar una vulnerabilidad que, por su simplicidad y alcance, ya está siendo discutida ampliamente. REPOOO👇

🇺🇸⚡️- A critical, unpatched Windows 11 BitLocker zero-day named "YellowKey" has been leaked online. It is believed to be an NSA/TAO backdoor. Released by researcher Nightmare-Eclipse, the exploit allows anyone with physical access to bypass default TPM-only encryption via a USB drive. By targeting an obscure "FsTx" framework hidden inside the Windows Recovery Environment (WinRE), attackers gain full read/write drive access. Microsoft has no patch yet. Defenders should immediately run reagentc /disable in CMD to kill WinRE.

یک محقق امنیت سایبری با نام مستعار «Chaotic Eclipse» یا «Nightmare Eclipse»، کدهای اثبات (Proof-of-Concept) برای دو آسیب‌پذیری وصله‌نشده ویندوز با نام‌های «YellowKey» و «GreenPlasma» منتشر کرده است. YellowKey یک روش دور زدن رمزنگاری بیت‌لاکر (BitLocker bypass) است که ویندوز ۱۱ و ویندوز سرور ۲۰۲۲/۲۰۲۵ را تحت تأثیر قرار می‌دهد و از طریق محیط بازیابی ویندوز (Windows Recovery Environment) با قرار دادن فایل‌های مخصوص «FsTx» روی درایو USB یا پارتیشن EFI قابل بهره‌برداری است. محقق امنیتی کوین بومونت (Kevin Beaumont) صحت این آسیب‌پذیری را تأیید کرد و استفاده از پین بیت‌لاکر به همراه رمز عبور BIOS را به عنوان راهکار کاهش خطر توصیه نمود؛ هرچند محقق اصلی ادعا کرده که آسیب‌پذیری حتی در محیط‌های TPM PIN نیز قابل بهره‌برداری است، اما کد مربوط به این نسخه منتشر نشده است. GreenPlasma نیز یک آسیب‌پذیری ارتقاء سطح دسترسی (privilege escalation) است که به کاربران غیرمجاز امکان می‌دهد اشیاء حافظه‌ای دلخواه در مسیرهای قابل نوشتن توسط SYSTEM ایجاد کنند، هرچند کد منتشرشده برای دستیابی به پوسته کامل SYSTEM ناقص است. این افشاگری‌ها در پی نارضایتی محقق از نحوه رسیدگی مایکروسافت به گزارش‌های آسیب‌پذیری صورت گرفته و پس از انتشار قبلی آسیب‌پذیری‌های BlueHammer و RedSun است که هر دو پس از افشای عمومی مورد بهره‌برداری واقعی قرار گرفتند. محقق تهدید کرده که به انتشار اکسپلویت‌های آسیب‌پذیری‌های مستندنشده ویندوز ادامه خواهد داد و از «یک غافلگیری بزرگ» برای Patch Tuesday ماه آینده خبر داده است. ( به بیان ساده بیت‌لاکر ویندوز بکدور داشته که خود مایکروسافت قفل سیستم‌های ملت را باز کنه )

BitLockerのゼロデイ脆弱性"YellowKey"に対応するPoC（攻撃の概念実証コード）が公開された。発見者曰くバックドアのように機能しているとのこと。細工されたFsTxファイルをUSBドライブかEFIパーティションに置いてWinREから起動し、Ctrlでシェルを開くだけ。

Hold CTRL in WinRE to get a CMD shell on a TPM-unlocked BitLocker drive. That's the payoff from YellowKey, a zero-day dropped May 13, 2026, PoC at github.com/Nightmare-Eclipse…. Impacts Windows 11 and Windows Server 2022/2025 with BitLocker set to TPM-only. Windows 10 dodges it. Start by dropping tailored NTFS transaction log files into \System Volume Information\FsTx on a USB or the EFI partition. Reboot directly into Windows Recovery Environment, keeping CTRL pressed. FsTx logs execute on replay, wiping out X:\Windows\System32\winpeshl.ini. No winpeshl.ini plus CTRL input forces WinRE to run CMD.EXE in place of the recovery UI. The volume stands unlocked thanks to TPM's key release from the machine's last normal boot. Unrestricted access follows, bypassing recovery key, PIN, or any password prompt. The drop came from Chaotic Eclipse (Nightmare-Eclipse on GitHub), motivated by Microsoft's track record on bugs such as BlueHammer and RedSun. It also unveiled GreenPlasma: CTFMON-based EoP for arbitrary section creation, chainable to SYSTEM. Partial PoC out, full exploit not shared. Microsoft's May 13, 2026 statement: actively investigating, prioritizing protection for users, backs coordinated vulnerability disclosure. No CVE assigned. Patch pending. BitLocker's TPM mode trades usability for security, but log replay exposes the gap.

BitLockerをUSBで解錠、YellowKey公開 BitLockerで暗号化されたWindows 11のドライブが、USBメモリ1本で開く。 研究者Chaotic Eclipseが5月12日に公開したPoC「YellowKey」は手順が簡単だ。 USBメモリのSystem Volume Information配下にFsTxフォルダを置き、再起動時にCTRLキーを押し続ける。 それだけで管理者シェルが立ち上がり、暗号化解除済みのドライブが見える。 対象はTPM-only環境のWindows 11とServer 2022/2025。Windows 10は影響を受けない。 同じ名前のコンポーネントが通常のWindowsにも存在するが、脆弱なのは回復環境側だけだ。 「ほとんどバックドアのように感じる」と本人が書いた理由は、おそらくそこにある。 joho-todai.com/bitlocker-usb…

Esta función está solo en la imagen de WinRE. En Windows “normal” hay algo muy parecido, pero sin esta funcionalidad concreta. Para activarla, basta con descargar archivos especiales en un USB o partición EFi, ruta \System Volume Information\FsTx y una combinación de teclas.

昨日報道があったMicrosoftの暗号化機能BitLockerに対するバイパス手法「YellowKey」がGitHub上で公開された。Windows Recovery Environment（WinRE）を悪用することで、BitLocker保護されたボリュームへ制限なしアクセスが可能になるとしている。 公開したのは「Nightmare-Eclipse」を名乗る人物で、特定ファイル群をUSBメモリ内のSystem Volume Information/FsTxへ配置し、BitLocker有効なWindowsマシンに接続した状態で特殊なキー操作を伴う再起動を行うと、シェルが起動し暗号化ボリュームへアクセスできるという。また、USBを使わずEFIパーティションへ直接配置しても動作すると説明されている。 投稿者は、問題の原因となるコンポーネントがWinREイメージ内にのみ存在し、通常環境には同名だが機能が異なるものが含まれている点から、「バックドアのように感じる」と主張している。影響対象はWindows 11およびWindows Server 2022/2025で、Windows 10は影響を受けないとしている。 github.com/Nightmare-Eclipse…

LT position updates Part 1 22 Portfolio Pick Buyouts $RNA $DAWN $SLNO $NARI $BPMC $MYOV $IMGN $KRTX $HZNP $PRVB $ISEE $BLU $CTIC $FSTX $ICVX $LVGO $STML $JUNO $CMRX $RLYP $ITCI $KVUE Tech positions- $AMZN $SOFI $META $RBRK $GOOGL $AXON $NVDA $LMND $RDDT $MELI $APP $COIN $NOW $UBER $ZS $ASTS Top Biotech positions: $VKTX $CYTK $ARDX $CELC $BBIO $HROW $MDGL $CRVS $TMDX $OSCR $NKTR $RVMD