Microsoft enfrenta esta semana dos frentes de zero-days al mismo tiempo. Por un lado YellowKey, un bypass de BitLocker que da acceso a discos cifrados y todavía no tiene parche. Por el otro, dos vulnerabilidades en Microsoft Defender que ya se están explotando activamente y para las que sí hay actualización, con un plazo de remediación encima.
YellowKey: saltear BitLocker con un USB
CVE-2026-45585 (CVSS 6.8) es un security feature bypass de BitLocker: un atacante con acceso físico puede saltear el cifrado de disco y leer los datos protegidos. Afecta a Windows 11 y Windows Server 2022/2025, y ya hay prueba de concepto pública.
El método: se copian archivos FsTx especialmente construidos en un USB o en la partición EFI, se reinicia el equipo en WinRE (el entorno de recuperación de Windows) y, manteniendo presionada la tecla CTRL, se dispara un shell. Por ahora no hay parche: Microsoft publicó mitigaciones. La más práctica es pasar de un protector «TPM-only» a «TPM+PIN», de modo que el equipo pida un PIN para descifrar el disco al arrancar. En flotas se aplica vía Intune o Directivas de grupo, exigiendo «PIN de inicio con TPM».
Defender: dos fallas bajo ataque activo
El segundo frente es más urgente porque ya hay explotación in the wild. Son dos CVE en el motor de Microsoft Defender:
- CVE-2026-41091 — escalada de privilegios a SYSTEM por una debilidad de link-following en el Malware Protection Engine.
- CVE-2026-45498 — denegación de servicio (DoS) en equipos Windows sin parchear.
La CISA estadounidense confirmó la explotación activa y le puso a las agencias federales un plazo para parchear: 3 de junio de 2026. La actualización se distribuye sola a través del motor de Defender. Conviene verificar estar en Malware Protection Engine 1.1.26040.8 y Antimalware Platform 4.18.26040.7 o superior, en Seguridad de Windows → Protección contra virus y amenazas → Actualizaciones de protección.
¿Cómo está tu parque Windows?
Entre un bypass de cifrado de disco y dos fallas activas en la propia herramienta de seguridad del sistema, hay material para revisar hoy. ¿Ya verificaste las versiones de Defender en tus equipos? ¿Tenés BitLocker con TPM+PIN o quedó en TPM-only? Contanos cómo lo estás manejando en los comentarios.
Fuentes
- BleepingComputer — Microsoft shares mitigation for YellowKey Windows zero-day (20 de mayo de 2026).
- BleepingComputer — Microsoft warns of new Defender zero-days exploited in attacks (21 de mayo de 2026).
