El incidente de YellowKey expone una vulnerabilidad crítica en BitLocker, la solución de cifrado de disco completo de Microsoft, que permite el acceso no autorizado a unidades cifradas. La causa raíz parece ser una falla en la implementación de seguridad del Windows Recovery Environment (WinRE) y cómo interactúa con el proceso de arranque y la gestión de claves de BitLocker. El exploit se activa mediante una secuencia específica de acciones (copiar archivos a un USB, reiniciar en WinRE, mantener Control) que bypasses los mecanismos de autenticación de BitLocker, incluso cuando se usa TPM y PIN.
La naturaleza del exploit, donde los archivos desaparecen después de su uso, es particularmente preocupante y sugiere una posible puerta trasera o un diseño que facilita la ocultación de la actividad maliciosa. Esto socava la confianza en BitLocker como una medida de seguridad robusta para la protección de datos en reposo, afectando a millones de dispositivos Windows 11 donde BitLocker está habilitado por defecto, así como a entornos empresariales y gubernamentales que dependen de esta tecnología.
Las salvaguardas existentes, como el TPM (Trusted Platform Module) y la autenticación por PIN, fallaron en prevenir este ataque. Esto indica que la cadena de confianza desde el firmware hasta el sistema operativo no se mantuvo, o que existe una ruta de ejecución privilegiada dentro de WinRE que no valida adecuadamente la integridad del sistema o la autorización del usuario antes de otorgar acceso a la unidad cifrada. La falta de una respuesta oficial de Microsoft agrava la situación, dejando a los usuarios sin una guía clara sobre cómo mitigar el riesgo.