2026年5月12日,安全研究员 Nightmare‑Eclipse 公开了代号 YellowKey(黄钥匙) 的零日漏洞概念验证代码。仅需一个U盘和一个组合键,攻击者即可在数秒内无视 BitLocker 的 TPM 加密保护,完全访问 Windows 11 的加密磁盘。更令人不安的是,研究者指出该漏洞的触发组件仅存在于官方恢复镜像中,质疑这或许是一个“潜伏的后门”。
一、漏洞概述
BitLocker 是 Windows 系统内置的全盘加密工具,通常依赖 TPM(可信平台模块)在系统启动时自动解锁加密卷。YellowKey 漏洞允许攻击者通过物理接触(插入U盘)绕过这一保护。
- 漏洞代号:YellowKey(黄钥匙)
- 发现者:Nightmare‑Eclipse(也称 Chaotic Eclipse)
- 公开时间:2026年5月12日
- CVE 编号:暂未分配(微软尚未正式回应)
影响范围
| 受影响系统 | 不受影响系统 |
|---|---|
| Windows 11(所有版本) | Windows 10 |
| Windows Server 2022 | |
| Windows Server 2025 |
二、技术原理
YellowKey 的攻击核心是 Windows 恢复环境(WinRE) 中的 事务性 NTFS(TxF) 组件。该组件原本用于支持多步文件操作的原子性回滚,但在特定条件下会被恶意操纵。
攻击流程如下:
- 攻击者将精心构造的 FsTx 文件夹 复制到U盘的
System Volume Information目录(U盘无需特殊格式,NTFS/FAT32/exFAT 均可)。 - 当系统引导至 WinRE 时,事务性 NTFS 自动重放该目录中记录的事务日志。
- 这些日志包含指向
X:\Windows\System32\winpeshl.ini(控制WinRE启动行为的配置文件)的路径操作,成功删除或替换该文件。 - WinRE 启动后不再加载正常的恢复界面,而是直接弹出一个 高权限命令提示符(CMD.EXE),且该 Shell 已自动获得对加密卷的完整读写权限。
自毁特性:漏洞利用文件在执行时会 自动从U盘中删除,使得事后取证极为困难。
三、项目介绍
- 项目名称:YellowKey
- 作者:Nightmare‑Eclipse
- GitHub 仓库:https://github.com/Nightmare-Eclipse/YellowKey
- 发布形态:概念验证(PoC)代码 + 预置的 FsTx 文件夹
- 授权协议:未明确(仅供安全研究)
关联项目:GreenPlasma(绿等离子体)
同一研究者还发布了第二个漏洞 GreenPlasma,利用 Windows CTFMON(协作翻译框架)实现本地提权,可从普通用户直接提升至 SYSTEM 级别。可与 YellowKey 形成链式攻击:先通过物理接触突破 BitLocker,再利用 GreenPlasma 持久维持权限。
四、使用方法
⚠️ 严重警告:以下内容仅用于安全研究和授权测试。未经许可对他人设备进行测试属于违法行为。
4.1 准备工作
- 准备一个任意容量的 U盘(建议格式化为 NTFS,但 FAT32/exFAT 均可)。
- 从 GitHub 下载 YellowKey 工具包。
- 开启“显示隐藏的系统文件”,以便看到
System Volume Information目录。
4.2 制作攻击U盘
- 将U盘插入自己的电脑。
- 找到 YellowKey 工具包中的
FsTx文件夹(通常位于payload/FsTx)。 将整个
FsTx文件夹 复制到U盘的System Volume Information目录中。- 如果U盘根目录没有该文件夹,可以手动创建一个(可能需要管理员权限)。
4.3 触发漏洞
将制作好的U盘插入目标 Windows 11/Server 2022/2025 设备,然后选择以下任一方法触发:
方法A(推荐)
- 按住键盘上的
Shift键,用鼠标点击“开始 → 电源 → 重启”。 - 点击“重启”后 立即松开
Shift键,并 迅速按住Ctrl键不放,直到屏幕出现 WinRE 蓝屏菜单。
方法B(备用)
- 开机后,在 Windows 徽标出现前 手动强制重启(例如长按电源键)。
- 重启的同时 按住
Ctrl键不放,直到进入 WinRE。
4.4 获得 Shell
如果触发成功,系统会直接弹出 命令提示符(CMD)窗口,该窗口拥有 SYSTEM 级别权限,并且已经能够访问 BitLocker 加密的 C 盘(例如 C: 盘已被自动解密挂载)。
此时可以执行任意操作,例如:
diskpart– 挂载其他分区copy/xcopy/robocopy– 复制任意文件net user hacker P@ssw0rd /add– 添加本地管理员账户
4.5 注意事项
- 成功率:并非每次都能成功。若失败,建议格式化U盘并重新复制
FsTx文件夹后重试。 - 无U盘变体:若无法使用U盘,可将
FsTx文件夹写入目标磁盘的 EFI 系统分区(前提是能短暂取出磁盘进行写入),同样可触发漏洞。 - 痕迹清除:利用成功后U盘上的
FsTx文件夹会被自动删除,难以追踪。
4.6 验证有效性
多名安全专家已独立验证该漏洞:
- Will Dormann(Mastodon):“能够通过插入USB驱动器完美复现 YellowKey。”
- Kevin Beaumont:“在标准 Windows 11 24H2 设备上测试成功,BitLocker 加密被完全绕过。”
五、“后门”争议
Nightmare‑Eclipse 在公开漏洞时指出,触发该漏洞的 组件仅存在于官方 WinRE 镜像中,而普通 Windows 镜像中尽管含有同名组件,却不会表现出任何绕过行为。他公开质疑:
“除了是微软有意为之,我实在想不出别的解释。这看起来像一个精心设计的后门,而不是普通的编码错误。”
微软安全团队曾于2025年驳回了他提交的两个零日漏洞报告(均影响 Microsoft Defender),双方积怨已久。目前微软尚未就 YellowKey 做出正式回应。
六、微软的反应与修复状态
- 2026年5月13日:微软发布安全更新 KB5089549,声称修复了此前四月更新(KB5083769)引发的 BitLocker 误入恢复模式问题。但未明确提及修复 YellowKey 漏洞。
- 2026年5月15日:微软确认部分用户在安装 KB5089549 时出现
0x800f0922错误,原因是 EFI 系统分区剩余空间不足 10MB。解决方案是手动扩展 EFI 分区或使用 DiskPart 清理冗余文件。 - 截至2026年5月20日:微软 尚未发布针对 YellowKey 的专门补丁。
临时缓解措施
- 启用 TPM + PIN 组合保护(有争议称 YellowKey 的变种仍可能绕过)。
- 使用 第三方加密方案(如 VeraCrypt)作为替代。
- 限制物理接触:在敏感环境中禁用 USB 启动或设置 BIOS 密码。
- 对于 Windows 11 设备,可回退至 Windows 10(不受该漏洞影响)。
七、总结
YellowKey 漏洞揭示了 BitLocker 在物理访问场景下的严重设计缺陷,以及微软更新质量管理上的混乱。无论是作为安全研究人员学习漏洞分析,还是企业 IT 管理员评估风险,理解该漏洞的利用原理都至关重要。同时,它也引发了对“厂商预留后门”这一敏感话题的再次讨论——信任加密工具的前提,是彻底公开透明的代码与响应机制。
参考资料
- YellowKey GitHub 仓库
- GreenPlasma GitHub 仓库
- Hexnode 技术分析:YellowKey BitLocker bypass explained
- 微软官方更新日志:KB5089549(2026年5月13日)