U svetu sajber bezbednosti, sredina 2026. godine obeležena je intenzivnim debatama i hitnim bezbednosnim merama usled otkrivanja ranjivosti poznate pod nazivom “YellowKey” (katalogizovane kao CVE-2026-45585). Ova ranjivost je podigla veliku prašinu u IT zajednici jer direktno pogađa osnovni bezbednosni postulat modernih operativnih sistema – integritet podataka u stanju mirovanja (Data-at-Rest).

Činjenica da je dokaz koncepta (Proof-of-Concept – PoC) objavljen javno, zaobilazeći standardne norme koordinisanog otkrivanja ranjivosti, stavila je administratore sistema i bezbednosne timove širom sveta u poziciju u kojoj moraju hitno da primene privremene mere zaštite (mitigations) pre nego što Microsoft distribuira zvanične automatske zakrpe.

U nastavku donosimo detaljnu, tehničku i profesionalnu analizu ove ranjivosti, njenog mehanizma delovanja, stvarnog uticaja na korporativna okruženja i koraka koje sistem administratori moraju preduzeti kako bi osigurali svoje infrastrukturne tačke.

1. Kontekst i hronologija događaja

Ranjivost je inicijalno otkrio nezavisni bezbednosni istraživač koji deluje pod pseudonimom Nightmare-Eclipse (u nekim izveštajima naveden i kao Chaotic Eclipse). Umesto poštovanja standardnih normi koordinisanog otkrivanja ranjivosti (Coordinated Vulnerability Disclosure – CVD), gde se detalji ne iznose u javnost dok proizvođač softvera ne razvije i testira zakrpu, istraživač je odlučio da javno objavi funkcionalni PoC exploit.

Ovakav potez drastično skraćuje vreme koje organizacije imaju na raspolaganju za odbranu. Microsoft je ubrzo nakon toga priznao postojanje bezbednosnog propusta, dodelio mu zvaničnu oznaku CVE-2026-45585 i izdao privremene smernice za ublažavanje rizika. Rizična ocena ovog propusta po CVSS 3.1 skali iznosi 6.8 (srednji do visoki rizik). Iako na prvi pogled može delovati manje kritično u poređenju sa daljinskim izvršavanjem koda (RCE), u kontekstu fizičke bezbednosti uređaja YellowKey predstavlja maksimalnu pretnju.

2. Anatomija ranjivosti: Kako funkcioniše “YellowKey”?

Nasuprot prvobitnim senzacionalističkim medijskim naslovima koji su sugerisali da je BitLocker enkripcija “slomljena”, realnost je tehnički suptilnija. YellowKey ne napada samu kriptografsku arhitekturu (poput AES-XTS algoritma koji BitLocker koristi), već eksploatiše logički propust u sekvenci podizanja sistema unutar Windows okruženja za oporavak (Windows Recovery Environment – WinRE).

Logika ranjivog koda

Meta napada je izvršna datoteka autofstx.exe, koja se pokreće u ranoj fazi podizanja WinRE okruženja. Ova datoteka se poziva preko BootExecute ključa unutar SYSTEM registra skrivenog operativnog sistema unutar WinRE-a. Njena primarna funkcija je upravljanje transakcionim operacijama na fajl sistemu (Transactional File System – TxF) kako bi se osigurao integritet datoteka tokom procesa oporavka ili ažuriranja sistema.

Kada se računar pokrene u WinRE režimu, autofstx.exe automatski skenira sve dostupne medijume za skladištenje podataka (uključujući interne diskove i eksterne USB uređaje) tražeći specifičnu, predefinisanu strukturu direktorijuma:

System Volume Information\FsTx

Propust leži u načinu na koji ovaj binarni fajl parsira neispravne ili namerno modifikovane transakcione logove. Ukoliko napadač postavi malformisanu transakcionu datoteku na eksterni USB drajv ili na nezaštićenu EFI sistemsku particiju (ESP) i inicira pokretanje WinRE-a uz držanje tastera CTRL, dolazi do kritične greške u logici izvršavanja. Umesto da prekine operaciju ili zabeleži grešku u logovima, autofstx.exe pada u neočekivano stanje (fail-open). Ovaj pad uzrokuje da WinRE okruženje otvori potpuno funkcionalan, interaktivni komandni prompt (cmd.exe) sa najvišim privilegijama sistema (NT AUTHORITY\SYSTEM).

Ključni bezbednosni problem: Automatsko otključavanje (TPM-only)

Ono što YellowKey čini izuzetno opasnim jeste trenutak u kojem se ovaj komandni prompt otvara. Na sistemima gde je implementiran BitLocker u svom podrazumevanom režimu rada – TPM-only (gde kriptografski čip na matičnoj ploči automatski isporučuje ključeve za dekripciju čim potvrdi integritet hardvera i sistemskih datoteka), TPM je u ovoj fazi već transparentno otključao primarnu particiju operativnog sistema.

Kao rezultat, napadač koji dobije pristup pomenutom SYSTEM komandnom promptu ima pun, neograničen pristup čitanju i pisanju po do tada kriptovanoj particiji. U tom trenutku, zaštita podataka u stanju mirovanja potpuno prestaje da postoji.

3. Obim uticaja i preduslovi za uspešan napad

Da bi se precizno procenio rizik unutar preduzeća, potrebno je razumeti koje konfiguracije su ranjive, a koje su imune na ovaj napad.

Pogođeni operativni sistemi

Ranjivost pogađa moderne Windows arhitekture koje koriste ažurirane verzije WinRE okruženja sa transakcionom podrškom:

Windows 11 (sve aktivne verzije za korisnike i preduzeća)

Windows Server 2022

Windows Server 2025

Status Windows 10 sistema: Detaljnom verifikacijom iz više izvora potvrđeno je da Windows 10 sistemi nisu ranjivi na ovaj specifičan napad. Komponenta WinRE-a koja se isporučuje uz Windows 10 koristi stariju strukturu datoteka i u njoj nedostaje sporna transakciona funkcionalnost unutar autofstx.exe fajla, što automatski eliminiše ovaj vektor napada.

Preduslovi za napad (Threat Model)

Za uspešnu eksploataciju YellowKey ranjivosti, napadač mora da ispuni dva ključna uslova:

Fizički pristup uređaju: Napadač mora imati direktan pristup računaru kako bi ubacio USB sa malformisanim fajlom i manipulisao tastaturom tokom boot sekvence.

Podrazumevani BitLocker profil (TPM-only): Sistem mora biti konfigurisan tako da se podiže bez dodatne autentifikacije pre pokretanja samog OS-a.

Mit o zaobilaženju PIN koda

U prvim satima nakon objave PoC-a, u javnosti su se pojavile dezinformacije da YellowKey može da zaobiđe i sisteme zaštićene BitLocker PIN-om ili startup ključem (USB ključ). Međutim, kasnijom nezavisnom verifikacijom bezbednosnih laboratorija utvrđeno je da napadački kôd otkazuje pred ekranom za unos PIN-a. Ukoliko je na sistemu aktiviran pre-boot PIN, TPM čip odbija da pusti ključeve u memoriju sve dok se ne unese ispravna šifra. Pošto autofstx.exe radi unutar WinRE-a koji se u ovom scenariju ne može osloniti na automatski otključane ključeve, napadač dobija komandni prompt koji vidi samo zaključanu, enkriptovanu particiju, čime je napad efikasno neutralisan.

4. Analiza rizika za korporativna okruženja

Za razliku od ranjivosti koje omogućavaju daljinsko izvršavanje koda (RCE) preko mreže, YellowKey zahteva fizičko prisustvo. Zbog toga se profil rizika dramatično razlikuje u zavisnosti od prirode poslovanja i organizacije rada unutar kompanije.

Scenariji visokog rizika

Prenosivi računari (Laptops): Uređaji koje zaposleni nose van kancelarije, na putovanja ili ih koriste za rad od kuće predstavljaju primarnu metu. Gubitak ili krađa ovakvog laptopa omogućava zlonamernom akteru da u roku od nekoliko minuta izvuče osetljive korporativne podatke, lozinke keširane u sistemu ili sertifikate.

Uređaji na javnim mestima: Kiosci, terminali, bankomati ili računari na recepcijama koji rade pod Windows 11 operativnim sistemom, a nemaju adekvatan fizički nadzor, izuzetno su ranjivi.

Scenariji niskog rizika

Data centri i serveri: Iako Windows Server 2022/2025 poseduje ranjivu komponentu, serveri u data centrima su pod strogim fizičkim i elektronskim kontrolama pristupa. Rizik da neko neovlašćeno priključi USB uređaj i ručno restartuje produkcioni server je minimalan.

5. Privremene mere zaštite i ublažavanje rizika (Mitigation Guidance)

Pošto zvanična automatska zakrpa u trenutku pisanja ovog teksta još uvek nije integrisana u redovan Windows Update proces, administraterski timovi moraju ručno ili kroz automatizovane skripte primeniti neku od sledećih odbrambenih taktika.

Opcija A: Implementacija Pre-Boot autentifikacije (Preporučeno i najsigurnije)

Uvođenje obaveznog unosa PIN koda pre podizanja operativnog sistema u potpunosti blokira mehanizam koji YellowKey koristi. Čak i ako napadač izazove pad u WinRE-u, podaci ostaju kriptovani jer TPM nije oslobodio ključeve.

Ova mera se najefikasnije sprovodi na nivou domena preko Group Policy Objects (GPO):

Otvorite Group Policy Management Editor.

Navigirajte do putanje:

Computer Configuration \ Administrative Templates \ Windows Components \ BitLocker Drive Encryption \ Operating System Drives

Pronađite i aktivirajte polisu:

Require additional authentication at startup

Unutar podešavanja polise, osigurajte da je opcija “Require startup PIN with TPM” selektovana.

Nuspojava: Ova mera menja korisničko iskustvo jer zahteva od zaposlenih da unesu PIN svaki put kada pale računar, što može generisati privremeni skok broja tiketa podrške (helpdesk), ali pruža apsolutnu zaštitu od ovog vektora napada.

Opcija B: Primena Microsoft skripte za modifikaciju WinRE-a

Za okruženja gde uvođenje PIN koda nije izvodljivo iz logističkih razloga, Microsoft je ponudio bezbednosnu skriptu pisanu u PowerShell-u. Ova skripta vrši hiruršku izmenu nad samom Windows Recovery particijom.

Proces koji skripta obavlja u pozadini sastoji se od sledećih koraka:

Lociranje i montiranje offline slike okruženja za oporavak (Winre.wim) pomoću DISM alata.

Učitavanje offline SYSTEM registra koji pripada tom specifičnom WinRE-u.

Modifikacija strukture unutar ControlSet001\Control\Session Manager kako bi se uklonili ili neutralisali parametri koje autofstx.exe koristi za nebezbedno parsiranje TxF logova.

Demontiranje slike uz čuvanje izmena (commit) i ažuriranje kontrolnih suma unutar Secure Boot baze kako bi sistem prihvatio izmenjenu particiju kao validnu.

Ova mera je transparentna za krajnje korisnike, ali zahteva pažljivo testiranje na test-grupama računara pre masovnog slanja kroz sisteme za upravljanje konfiguracijom (poput Microsoft Intune ili SCCM).

Opcija C: Potpuno isključivanje WinRE okruženja (Privremeno rešenje)

Ukoliko organizacija nema resurse za brzo testiranje modifikacije registra, a hitno mora da zaštiti visoko izložene Windows 11 uređaje, najbrža reaktivna mera je potpuno gašenje okruženja za oporavak. Bez aktivnog WinRE-a, napadač ne može inicirati boot sekvencu u kojoj se nalazi ranjivi autofstx.exe fajl.

Ova komanda se može izvršiti iz komandnog prompta sa administrativnim privilegijama:

DOS

reagentc /disable

Nakon što se zvanična zakrpa pojavi i instalira, WinRE se može ponovo aktivirati jednostavnom komandom:

DOS

reagentc /enable

Nuspojava: Isključivanjem WinRE-a privremeno se onemogućavaju legitimne opcije automatskog popravljanja sistema i vraćanja na prethodne tačke oslonca u slučaju sistemskih grešaka.

6. Matrica prioriteta i akcioni plan za administratore

Za efikasno upravljanje ovim rizikom preporučuje se primena sledećeg akcionog plana u zavisnosti od tipa i lokacije opreme:

PrioritetGrupa uređajaPreporučena meraObrazloženje
KritičanEksterni laptopovi (Windows 11) bez PIN zaštite.Aktivacija Pre-Boot PIN-a preko GPO-a ili Intune-a.Najveća izloženost fizičkom gubitku ili krađi uređaja van organizacije.
VisokKiosci, javni terminali i računari na recepcijama.Isključivanje WinRE (reagentc /disable) ili primena skripte.Stalna izloženost neovlašćenom fizičkom pristupu trećih lica u objektu.
Srednji / NizakDesktop računari unutar obezbeđenih kancelarija.Primena Microsoft PowerShell skripte nakon testiranja.Kontrolisan pristup objektu i prisustvo zaposlenih smanjuju verovatnoću napada.
ImuniSvi uređaji na Windows 10 platformi.Nije potrebna hitna akcija.Arhitektura sistema ne sadrži ranjivi kod unutar WinRE komponente.

ZAKLJUČAK

YellowKey (CVE-2026-45585) je podsetnik na to da bezbednost operativnog sistema zavisi od njegove najslabije karike u lancu poverenja (Chain of Trust). Ranjivost je pokazala da čak i kada su primenjeni najsavremeniji kriptografski standardi, logički propust u pomoćnim alatima pokrenutim pre samog operativnog sistema može potpuno obesmisliti investicije u enkripciju diska.

Dugoročni trend u industriji pokazuje da oslanjanje isključivo na TPM-only mod više nije dovoljno za prenosive uređaje visoke vrednosti. Uvođenje višefaktorske autentifikacije na nivou podizanja sistema (TPM + PIN) postavlja dodatni i nepremostiv zid, ne samo za YellowKey, već i za sve buduće slične ranjivosti koje ciljaju rane faze podizanja operativnog sistema.

Leave a Reply