Se ha identificado una vulnerabilidad crítica de seguridad en Microsoft BitLocker, denominada “YellowKey”. Este fallo permite a un atacante eludir por completo el cifrado del dispositivo, obteniendo acceso no restringido a los datos de las unidades de sistema bloqueadas. La vulnerabilidad reside en el Entorno de Recuperación de Windows (WinRE) y ha sido publicada de forma no coordinada, lo que aumenta significativamente el riesgo de explotación en dispositivos empresariales y gubernamentales.
Veredicto Analítico
- Estado: Confirmado (Vulnerabilidad de día cero / Zero-day).
- Confianza: Alta (Basado en la divulgación de Microsoft y la publicación de la PoC).
- Riesgo para SOC TDIR: Crítico. La capacidad de acceder a datos cifrados sin credenciales ni claves de descifrado anula una de las principales defensas de integridad y confidencialidad en endpoints.
- Urgencia operativa: Inmediata. Microsoft ha calificado la situación como “Explotación más probable” (Exploitation More Likely), lo que exige una acción de mitigación urgente.
- Base del veredicto: Existe una Prueba de Concepto (PoC) pública en GitHub que permite el bypass del cifrado.
Hallazgos Clave
- Naturaleza del fallo: Es un bypass de la función de seguridad de BitLocker.
- Vector de ataque: La vulnerabilidad se encuentra dentro del Windows Recovery Environment (WinRE).
- Impacto técnico: Un atacante puede eludir el cifrado de BitLocker en el dispositivo de almacenamiento del sistema, accediendo a datos sin necesidad de credenciales de usuario o claves de descifrado.
- Identificación: El fallo está registrado como CVE-2026-45585 con una puntuación CVSS de 6.8.
- Contexto de divulgación: El código fue publicado por el investigador “Nightmare-Eclipse” como represalia contra Microsoft, violando las mejores prácticas de divulgación coordinada.
Análisis Técnico
- Componente afectado: Windows Recovery Environment (WinRE) y BitLocker Device Encryption.
- Sistemas afectados:
- Windows 11 (versiones 24H2, 25H2 y 26H1 para sistemas basados en x64).
- Windows Server 2022.
- Windows Server 2025 (incluyendo instalaciones Server Core).
- TTPs (MITRE ATT&CK):
- Táctica: Acceso a datos / Evasión de defensas.
- Técnica: Bypass de cifrado de disco (Data Encrypted bypass).
- Estado del parche: Hasta el momento, no se ha lanzado un parche definitivo; Microsoft ha proporcionado una guía de mitigación manual de varios pasos mientras se prepara la actualización de seguridad formal.
Recomendaciones Operativas
Para Administradores de Sistemas / IT (Acción Inmediata):
- Aplicar Mitigación Manual: Dado que no hay parche disponible, es imperativo seguir la guía de mitigación multi-paso proporcionada por Microsoft de forma inmediata.
- Auditoría de Versiones: Identificar todos los activos que corran Windows 11 o Windows Server (2022/2025) para priorizar la aplicación de medidas.
Para el SOC (Monitoreo):
- Vigilancia de WinRE: Monitorear cualquier actividad inusual o accesos no autorizados al entorno de recuperación de los sistemas críticos.
- Control de Integridad: Reforzar los controles de integridad de hardware y firmware para detectar posibles intentos de manipulación física de los dispositivos.
Para CTI (Inteligencia):
- Seguimiento de PoC: Monitorear la evolución de la explotación de la PoC publicada en GitHub para entender el nivel de sofisticación de los atacantes.
- Alerta de Riesgo: Informar a los clientes sobre la vulnerabilidad de “zero-day” y la importancia de no retrasar las mitigaciones manuales.
