• Jitka Marešová
• 13 května, 2026
• Žádné komentáře

Bezpečnostní výzkumník vystupující pod pseudonymem „Nightmare-Eclipse“ (také známý jako Chaotic Eclipse), který v minulosti zveřejnil několik kontroverzních Windows zero-day zranitelností zaměřených na Microsoft Defender a bezpečnostní mechanismy Windows, přišel s dalším zajímavým odhalením – BitLocker bypassem přezdívaným YellowKey.

Výzkumník se dříve proslavil zveřejněním těchto zranitelností:

• BlueHammer (CVE-2026-33825) – Local Privilege Escalation přes Defender signature update mechanismus 
• RedSun – možnost zápisu binárek do System32 přes Defender remediation service 
• UnDefend – nástroj pro „oslepení“ Microsoft Defenderu bez ztráty statusu „healthy“

Tentokrát se zaměřil na BitLocker a Windows Recovery Environment (WinRE).

Co je YellowKey 

YellowKey není klasický exploit typu buffer overflow nebo kernel RCE. Neútočí na kryptografii BitLockeru ani „neláme“ AES šifrování. Místo toho zneužívá chování Windows Recovery Environment tak, aby po odemčení BitLocker volume nedošlo k jeho opětovnému uzamčení. 

Právě to je na celé věci nejzajímavější – vše probíhá přes legitimní Windows komponenty. Celý koncept tak působí spíše jako skrytá recovery/debug feature než tradiční zranitelnost. 

Zranitelnost funguje pouze na Windows 11 a Windows Server 2022/2025. Komponenta zodpovědná za chování existuje pouze ve WinRE image, přičemž podobná komponenta je přítomná i v běžných Windows, ale bez této funkcionality. 

Princip útoku

• útočník připraví speciální soubory (FsTx) na USB nebo EFI partition, 
• spustí zařízení do Windows Recovery Environment, 
• aktivuje skrytý trigger pomocí klávesové kombinace, 
• získá shell s přístupem k již odemčenému BitLocker volume.

Co údajně ukazuje reverse engineering 

Další výzkumník následně publikoval screenshot z reverse engineeringu RecEnv.exe, kde je vidět práce s registry: 

RegGetValueW( 
  HKEY_LOCAL_MACHINE, 
  „SOFTWARE\\Microsoft\\RecoveryEnvironment“, 
  „FailRelock“, 
  … 
); 

Následně podle zveřejněné analýzy vyplývá, že pokud je hodnota FailRelock rovno 1, pak recovery prostředí přeskočí opětovné uzamčení BitLocker volume. 

Windows Recovery Environment po recovery operaci disk znovu „nezamkne“, takže zůstane přístupný shellu. To je důvod, proč část komunity tvrdí, že mechanismus působí spíše jako interní servisní/debug feature než běžný bug.

Dopady 

Pokud se zranitelnost potvrdí jako plně funkční, může představovat vážné riziko především pro ukradená zařízení nebo scénáře s fyzickým přístupem. YellowKey zároveň ukazuje zajímavý trend moderních útoků, kdy nejsou zneužívány klasické exploity nebo malware, ale samotné legitimní a důvěryhodné komponenty Windows.

Odkaz na GitHub 

https://github.com/Nightmare-Eclipse/YellowKey