A vulnerabilidade CVE-2026-45585, conhecida como YellowKey, permite que atacantes com acesso físico a um computador Windows 10 ou 11 contornem proteções de senha UEFI e BIOS, acessando o Windows Recovery Environment (WinRE) sem autenticação de firmware. A falha pode enfraquecer a proteção do BitLocker e comprometer dados mesmo em dispositivos com senhas de inicialização configuradas. Trata-se de uma falha na arquitetura do Windows que persiste desde 2015, segundo a Eclypsium.
Como funciona o ataque
O ataque explora a variável UEFI BootNext, que especifica um destino de boot único armazenado na memória NVRAM. Essa variável não possui autenticação criptográfica e tem precedência sobre a BootOrder padrão no próximo ciclo de boot. Em implementações afetadas, o atacante manipula o BootNext para redirecionar o sistema para o WinRE sem acionar as verificações de autenticação do firmware.
Embora o Secure Boot garanta que apenas bootloaders assinados sejam executados, ele não impõe autenticação consistente em todas as rotas de boot. Assim, o atacante entra no ambiente de recuperação e pode alterar configurações de boot ou acessar dados protegidos pelo BitLocker, especialmente se o TPM não exigir PIN adicional.
O processo passo a passo do ataque YellowKey é relativamente simples para um atacante com acesso físico: primeiro, o invasor reinicia o sistema e acessa a UEFI (em muitos casos, a senha do BIOS pode ser resetada via jumper ou remoção de bateria CMOS). Em seguida, define a variável BootNext para apontar para o WinRE. No próximo boot, o sistema carrega diretamente o ambiente de recuperação sem pedir a senha de firmware. A partir do WinRE, o atacante pode acessar o disco, modificar configurações do sistema, desabilitar o BitLocker ou instalar malware persistente — tudo sem que o BitLocker seja desbloqueado via chave de recuperação.
Detalhes da vulnerabilidade
| Atributo | Detalhe |
|---|---|
| Identificador | CVE-2026-45585 |
| Vulgarização | CERT/CC VU#226679 |
| Nome | YellowKey |
| CVSS | 6.8 (Médio) |
| Plataformas afetadas | Windows 10 e Windows 11 com WinRE |
| Tipo de acesso | Físico (ataque “Evil Maid”) |
| Status | Reconhecido pela Microsoft com orientações de mitigação |
A falha não reside em um único software ou driver, mas na interação entre o firmware UEFI e o componente WinRE do Windows. Diferente de vulnerabilidades tradicionais que afetam uma versão específica, o YellowKey aproveita uma lacuna arquitetônica — a ausência de autenticação na variável BootNext — que persiste independentemente de patches do Windows. Por isso, a Microsoft optou por emitir diretrizes de hardening em vez de um patch único, transferindo parte da responsabilidade de mitigação para administradores e fabricantes de firmware.
Limitações das proteções de firmware
A descoberta reforça que depender exclusivamente de senhas de BIOS ou UEFI cria uma falsa sensação de segurança. O WinRE foi projetado como ferramenta de recuperação, mas sua arquitetura permite caminhos alternativos de boot que bypassam mecanismos de autenticação. O cenário é especialmente preocupante em ataques do tipo “Evil Maid”, onde o invasor tem acesso temporário a notebooks ou desktops em escritórios, hotéis ou aeroportos.
A Eclypsium, empresa que divulgou o YellowKey, demonstrou que a vulnerabilidade afeta uma ampla gama de fabricantes e modelos, uma vez que a inconsistência na validação de boot paths varia entre implementações de firmware. A Microsoft reconheceu o problema em maio de 2025 e publicou diretrizes de mitigação, mas não disponibilizou uma correção completa via Windows Update, exigindo que as próprias organizações implementem proteções adicionais.
Não é a primeira vez que mecanismos de recuperação do Windows são explorados para bypassar criptografia. Em 2026, o zero-day GreatXML também utilizou o caminho de recuperação para comprometer o BitLocker via arquivos XML maliciosos na partição de recuperação. Ambos os casos demonstram um padrão preocupante de falhas no mesmo componente do ecossistema Windows.
Organizações que dependem de notebooks para trabalho remoto enfrentam risco elevado, uma vez que dispositivos fora do perímetro físico do escritório ficam expostos ao vetor Evil Maid. A combinação de acesso físico temporário com a falha YellowKey elimina a principal barreira de proteção de dados em repouso, tornando o BitLocker em sua configuração padrão ineficaz contra atacantes determinados.
Medidas de mitigação
- Configure BitLocker com TPM + PIN ou chave de inicialização — não confie apenas no TPM automático
- Defina senha de supervisor no BIOS/UEFI em todos os dispositivos gerenciados e proteja contra reset físico da CMOS
- Desabilite ou restrinja o WinRE quando não for necessário em ambientes de alto risco
- Implemente políticas de measured boot e remote attestation para detectar alterações no caminho de boot
- Restrinja mudanças nas variáveis NVRAM, incluindo BootNext, via Group Policy ou ferramentas de MDM
- Controles físicos são essenciais para sistemas de alto valor — cable locks, caixas de proteção e monitoramento por câmera em salas de servidores
- Implemente EDR com monitoramento de integridade pre-boot e bloqueio de boot não autorizado
Para ambientes com MDM como Microsoft Intune ou Jamf, é possível implantar perfis que bloqueiam alterações na NVRAM e exigem TPM + PIN em todos os dispositivos. Em cenários de alto risco — como executivos que viajam frequentemente com notebooks corporativos — a combinação de BitLocker com PIN, senha de supervisor UEFI e desabilitação do WinRE oferece a camada mais robusta disponível.