Uma nova falha de segurança no BitLocker, sistema de criptografia de disco da Microsoft, colocou usuários e administradores de TI em alerta nesta semana. Identificada como CVE-2026-45585, a vulnerabilidade recebeu o codinome YellowKey e já é tratada como uma ameaça séria para computadores Windows protegidos apenas com autenticação baseada em TPM.
O problema ganhou enorme repercussão após a divulgação pública de detalhes técnicos e provas de conceito associadas ao pesquisador conhecido como Nightmare Eclipse. Segundo as informações divulgadas, o exploit pode permitir o acesso a dados criptografados utilizando apenas um pendrive USB preparado e acesso físico temporário ao computador alvo.
Neste artigo, você vai entender como a falha funciona, por que ela preocupa especialistas em segurança digital e quais medidas a Microsoft recomenda aplicar imediatamente para reduzir os riscos até a chegada de uma correção oficial.
Como a falha YellowKey afeta o BitLocker no Windows
A vulnerabilidade CVE-2026-45585 explora um comportamento relacionado ao ambiente de recuperação do Windows, conhecido como WinRE (Windows Recovery Environment), além de mecanismos internos ligados ao sistema de arquivos NTFS.
De acordo com os detalhes técnicos compartilhados publicamente, o ataque utiliza arquivos especiais chamados FsTx, carregados por meio de uma unidade USB contendo uma partição EFI modificada. Durante a inicialização do computador, esses arquivos manipulam processos transacionais do NTFS usados pelo Windows no modo de recuperação.
O ataque depende de:
- Acesso físico ao dispositivo;
- Reinicialização da máquina;
- Uso de um pendrive preparado;
- Interação no ambiente de recuperação do Windows.
O gatilho ocorre quando o invasor acessa o WinRE e mantém a tecla CTRL pressionada durante uma etapa específica do processo de boot. Isso permite contornar certas proteções associadas ao BitLocker configurado no modo padrão baseado apenas em TPM (Trusted Platform Module).
Na prática, o cenário preocupa principalmente empresas que utilizam notebooks corporativos protegidos somente com TPM, sem autenticação adicional antes da inicialização do sistema.
Especialistas alertam que o impacto da falha pode ser significativo em casos de:
- Roubo de notebooks;
- Perda de dispositivos corporativos;
- Ataques físicos em ambientes compartilhados;
- Espionagem industrial;
- Vazamento de informações sensíveis.
Nightmare Eclipse e a onda de vazamentos contra o MSRC
A divulgação da falha YellowKey não aconteceu de forma isolada. O pesquisador conhecido como Nightmare Eclipse vem publicando uma série de vulnerabilidades relacionadas ao ecossistema Windows em um movimento de protesto contra o Microsoft Security Response Center (MSRC).
Segundo declarações associadas ao pesquisador, o objetivo é criticar a forma como a Microsoft conduz o tratamento de vulnerabilidades reportadas por pesquisadores independentes.
Além da falha no BitLocker, outras divulgações recentes incluem projetos identificados como:
- BlueHammer
- RedSun
- GreenPlasma
- UnDefend
A situação gerou preocupação na comunidade de segurança porque a publicação de exploits funcionais aumenta consideravelmente o risco de ataques oportunistas antes da distribuição de correções oficiais.
Mesmo que o ataque exija acesso físico, especialistas lembram que ambientes corporativos modernos dependem fortemente de dispositivos móveis, tornando o risco mais relevante do que parece à primeira vista.
Como mitigar a falha CVE-2026-45585 no Windows
Enquanto a Microsoft trabalha em uma atualização definitiva para o problema, a empresa divulgou medidas temporárias para dificultar a exploração da vulnerabilidade.
As recomendações envolvem mudanças no comportamento do processo de inicialização e também a adoção de autenticação adicional antes do carregamento do sistema operacional.
Administradores de TI devem priorizar essas medidas especialmente em:
- Notebooks corporativos;
- Equipamentos utilizados fora do escritório;
- Dispositivos com informações confidenciais;
- Máquinas utilizadas por executivos;
- Ambientes com requisitos de compliance e proteção de dados.
Como desativar o autofstx.exe no Registro do Windows
Uma das mitigações recomendadas pela Microsoft consiste em remover referências ao autofstx.exe do valor BootExecute, localizado no Gerenciador de Sessão do Windows.
Esse componente está relacionado à reprodução automática de transações NTFS durante o processo de inicialização, comportamento explorado pela falha YellowKey.
Para realizar o procedimento:
- Abra o menu Iniciar;
- Pesquise por regedit;
- Execute o Editor de Registro como administrador;
- Navegue até:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager- Localize o valor BootExecute;
- Faça backup da configuração atual;
- Remova referências ao autofstx.exe;
- Salve as alterações;
- Reinicie o computador.
A alteração reduz a possibilidade de exploração do mecanismo utilizado pelo ataque durante o ambiente de recuperação do Windows.
Em ambientes corporativos, a configuração também pode ser distribuída utilizando:
- Políticas de Grupo (GPO)
- Scripts PowerShell
- Soluções de gerenciamento centralizado
- Microsoft Intune
Como ativar o modo TPM + PIN no BitLocker
Outra recomendação considerada essencial é substituir a configuração baseada apenas em TPM pelo modelo TPM + PIN.
Com essa mudança, o usuário precisa informar um PIN antes da inicialização do Windows, adicionando uma camada extra de autenticação física e lógica.
Isso dificulta significativamente ataques que dependem apenas da manipulação do processo de boot.
Para ativar o recurso:
- Abra o comando gpedit.msc;
- Vá até:
Configuração do Computador > Modelos Administrativos > Componentes do Windows > Criptografia de Unidade de Disco BitLocker > Unidades do Sistema Operacional- Abra a política:
Exigir autenticação adicional na inicialização- Habilite a política;
- Ative o suporte para TPM + PIN;
- Defina um PIN seguro;
- Reinicie o computador.
A configuração também pode ser feita via PowerShell ou ferramentas corporativas de gerenciamento.
Especialistas em segurança consideram essa medida uma das formas mais eficientes de reduzir o impacto de ataques físicos contra dispositivos protegidos pelo BitLocker.
Impacto da falha para empresas e usuários avançados
A falha YellowKey reforça um ponto importante no cenário atual de segurança digital: criptografia de disco sozinha não elimina todos os riscos quando existe acesso físico ao equipamento.
Embora o BitLocker continue sendo uma das soluções mais importantes de proteção de dados no Windows, a vulnerabilidade CVE-2026-45585 mostra que configurações padrão podem não ser suficientes em ambientes corporativos modernos.
Empresas que trabalham com:
- Dados financeiros;
- Informações jurídicas;
- Projetos confidenciais;
- Propriedade intelectual;
- Informações governamentais;
devem revisar imediatamente suas políticas de proteção física e autenticação pré-boot.
Até que a Microsoft libere uma atualização definitiva, aplicar as mitigações recomendadas pode reduzir significativamente o risco de exploração da falha.
