Microsoft a publié une atténuation pour une vulnérabilité d'omission de sécurité BitLocker Clé jaune (CVE-2026-45585) après que son test de concept ait été divulgué publiquement et que le processus de divulgation coordonné ait été rompu. L'échec, avec un score CVSS de 6.8, permet à un attaquant ayant un accès physique d'utiliser des fichiers spécialement manipulés ("FsTx") dans un lecteur USB ou dans la partition EFI, de redémarrer la machine dans l'environnement de récupération Windows (Winre) et de provoquer l'exécution d'un utilitaire qui, selon le chercheur, ouvre un shell avec un accès illimité au volume chiffré par BitLocker.
Il est important de souligner que Cette attaque nécessite un accès physique et la capacité de forcer le démarrage de WinRE à partir de moyens externes, ce qui limite partiellement le rayon de menace aux scénarios de vol d'équipement, à l'accès aux salles de serveurs ou aux environnements avec des politiques de démarrage de laxité. Toutefois, l'existence d'un programme public accroît le risque opérationnel : les adversaires possédant des connaissances techniques et un accès physique peuvent automatiser les tests d'engagement sans avoir à examiner la vulnérabilité à partir de zéro. Pour plus de couverture technique et de surveillance journalistique, des couvertures telles que BleepingComputer ont documenté la divulgation et la réponse de Microsoft: Calculateur de roulement sur Jaune Clé.
Microsoft a décrit une atténuation basée sur la modification de la WinRE: vous devez monter l'image de WinRE, charger votre fig d'enregistrement, supprimer l'entrée "autofstx.exe" de la valeur de BootExécuter Gestionnaire de Session, enregistrer et télécharger la fig, et recompromiser l'image sur l'appareil. Cela empêche l'utilitaire FsTx de fonctionner automatiquement lorsque WinRE démarre. En outre, la société recommande de changer les protecteurs BitLocker de TPM seulement sur TPM + PIN, de sorte que le déverrouillage de volume nécessite un NIP dans le démarrage et ne dépend pas seulement du module TPM. La documentation officielle de BitLocker dans Microsoft peut aider à planifier ces changements: Documentation BitLocker dans Microsoft Docs.
Pour les équipes et les gestionnaires, les implications pratiques sont doubles : premièrement, l'atténuation des images de WinRE doit être appliquée et largement déployée; deuxièmement, les politiques de démarrage et la sécurité physique doivent être revues. Le passage au TPM + PIN réduit considérablement l'efficacité de YellowKey car même avec WinRE engagé l'attaquant ne pourra pas déchiffrer l'unité sans connaître le PIN. Microsoft décrit les options permettant d'imposer cette exigence à partir des politiques Intune ou Group (« Exiger une authentification supplémentaire au démarrage» et «Configurer PIN de démarrage TPM»).
Il ne suffit pas d'atténuer au niveau du logiciel : renforcer le contrôle physique et le firmware C'est crucial. Je recommande de désactiver le démarrage d'USB lorsqu'il n'est pas nécessaire, de protéger le firmware UEFI / BIOS avec mot de passe, de forcer Secure Boot et d'enregistrer qui a un accès physique aux machines critiques. Ces mesures réduisent les possibilités pour un attaquant d'insérer des moyens manipulés ou redémarrer des serveurs pour invoquer WinRE avec des moyens externes.
Au niveau opérationnel, les organisations devraient prioriser l'identification et la cartographie des images WinRE utilisées par la flotte, intégrer les vérifications dans le cycle de gestion de l'image et automatiser la modification proposée par Microsoft pour prévenir les erreurs humaines. Il convient également d'examiner les procédures d'intervention en cas d'incident : confirmer l'intégrité de winpeshl.ini et rechercher des signes indiquant que des profits non autorisés ont été réalisés à WinRE. Pour des guides et des outils pratiques de gestion BitLocker tels que get-bde et PowerShell, la documentation de Microsoft propose des commandes et des exemples pour changer les protecteurs et déployer des politiques de démarrage sûres.
Enfin, l'équilibre entre sécurité et fonctionnement est fondamental. TPM + PIN introduit la friction(Recovery PIN, support utilisateur), vous devez donc préparer des processus de support et de récupération ( rotation clé, stockage sécurisé des informations de récupération). L'atténuation technique devrait s'accompagner d'une sensibilisation du personnel, de contrôles physiques et d'examens réguliers des images de récupération afin de fermer rapidement des vecteurs similaires à l'avenir.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...