0xBlackash/CVE-2026-45585

## 📌 YellowKey 漏洞是什么？ **YellowKey** (CVE-2026-45585) 是一个在 2026 年 5 月发现的 **零日物理攻击** 漏洞，允许拥有 **物理访问权限** 的攻击者完全绕过 Windows 11 设备上的 **BitLocker** 加密 —— **无需** PIN、密码或恢复密钥。 ### 攻击是如何工作的： - 攻击者将设备引导到 **WinRE** (Windows Recovery Environment) - 使用特别定制的 NTFS 事务日志 (`FsTx`) USB - 利用 `autofstx.exe` 获取提升的命令提示符 - TPM 自动解锁 BitLocker → 对驱动器完全访问 **受影响系统**： Windows 11, Windows Server 2022/2025 **不受影响**： Windows 10 ## ✨ 脚本功能 - **完整缓解**： 应用 **官方** 修复 - **WinRE 强化**： 从 BootExecute 中移除 `autofstx.exe` (主要修复) - **TPM+PIN 强制执行**： 为 BitLocker 添加强大的 PIN 保护器 - **智能检测**： 仅处理带有 TPM 的受保护驱动器 - **安全且可逆**： 清洁逻辑，用户确认 - **美观输出**： 颜色编码，专业控制台体验 ## 🚀 如何使用 ### 1. 下载脚本 将脚本保存为 `Mitigate-YellowKey.ps1` ### 2. 以管理员身份运行 ``` # 全面缓解（推荐） .\Mitigate-YellowKey.ps1 # 仅 WinRE 修复 .\Mitigate-YellowKey.ps1 -SkipTPMPIN # 仅 TPM+PIN（特定驱动器） .\Mitigate-YellowKey.ps1 -Drive "C:" -SkipWinRE ``` ## ⚙️ 参数 | 参数 | 描述 | 默认 | |-----------------|----------------------------------------|---------| | `-Drive` | 目标特定驱动器（例如 C:） | All | | `-SkipWinRE` | 跳过 WinRE 缓解 | False | | `-SkipTPMPIN` | 跳过 TPM+PIN 添加 | False | ## 🛡️ 安全建议 - 使用 **TPM + PIN**（6个字符以上，最好是字母数字） - 启用 **安全启动** - 保持物理访问受控 - 运行脚本后重启 - 验证方法：`manage-bde -status` ## ⚠️ 重要说明 - 添加 TPM+PIN 后，每次启动都需要输入 PIN。 - 在运行之前始终备份重要数据。 - 此脚本是根据 Microsoft 的官方指南 **定制** 的。 - 仅在 Windows 11 上运行。

标签：AI合规, Libemu