YellowKey betrifft laut dem Forscher Windows 11 sowie Windows Server 2022 und 2025. Für den Angriff werden speziell präparierte „FsTx“-Dateien auf einem USB-Laufwerk oder in der EFI-Partition abgelegt. Anschließend startet das System in die WinRE-Umgebung, und durch Gedrückthalten der STRG-Taste lässt sich eine Shell auslösen. Der Bypass soll auch ohne externen Datenträger funktionieren, indem die Dateien direkt in die EFI-Partition des Ziellaufwerks kopiert werden. Die so erzeugte Shell erhält nach Angaben von Chaotic Eclipse uneingeschränkten Zugriff auf das durch BitLocker geschützte Speichervolume.

Der unabhängige Sicherheitsforscher Kevin Beaumont bestätigte, dass der YellowKey-Exploit funktioniert, und stimmte zu, dass BitLocker eine Hintertür besitze. Als Gegenmaßnahme empfahl er die Verwendung einer BitLocker-PIN und eines BIOS-Passworts.

In einer Aktualisierung erklärte Chaotic Eclipse, die eigentliche Ursache sei der Öffentlichkeit weiterhin nicht bekannt und die Schwachstelle sei auch in einer Umgebung mit TPM (Trusted Platform Module) und PIN ausnutzbar. Den Exploit für diese Variante veröffentlichte der Forscher jedoch nicht: „TPM+PIN hilft nicht, das Problem bleibt unabhängig davon ausnutzbar“, schrieb er, halte den bereits veröffentlichten Stand aber für „schlimm genug“. Er gehe davon aus, dass selbst das MSRC einige Zeit brauchen werde, um die wahre Ursache zu finden.

Will Dormann, leitender Schwachstellenanalyst bei Tharros Labs, bestätigte ebenfalls, dass der Exploit mit den FsTx-Dateien auf einem USB-Laufwerk funktioniert, konnte den Fehler über die EFI-Partition jedoch nicht reproduzieren. Er erläuterte gegenüber BleepingComputer, dass YellowKey NTFS-Transaktionen in Kombination mit dem Windows-Recovery-Image ausnutze; die PIN-Abfrage erfolge vor dem Eintritt in die Wiederherstellungsumgebung. Beim Start suche Windows nach „\System Volume Information\FsTx“-Verzeichnissen auf angeschlossenen Laufwerken und spiele etwaige NTFS-Logs erneut ab. Dadurch werde die Datei „winpeshl.ini“ gelöscht, sodass beim Eintritt in die Wiederherstellung statt der eigentlichen Umgebung eine Eingabeaufforderung erscheine – bei weiterhin entsperrtem Datenträger.

Standardmäßig entsperren reine TPM-Konfigurationen verschlüsselte Laufwerke automatisch ohne Nutzerinteraktion. Genau dieses automatische Entsperren beim Start nutzt YellowKey aus, weshalb der aktuelle Exploit in einer TPM+PIN-Umgebung nicht greift. Der Test muss zudem auf dem Originalgerät erfolgen, auf dem das TPM die Schlüssel speichert. Mit gestohlenen Laufwerken funktioniert der derzeitige Exploit daher nicht, wohl aber beim Zugriff auf Datenträger mit reiner TPM-BitLocker-Konfiguration ohne Zugangsdaten.

GreenPlasma ist eine Schwachstelle zur Rechteausweitung, mit der sich eine Shell mit SYSTEM-Rechten erlangen lässt; Chaotic Eclipse bezeichnet sie als „Windows CTFMON Arbitrary Section Creation Elevation of Privileges Vulnerability“. Ein unprivilegierter Nutzer kann darüber beliebige Speichersektionsobjekte in von SYSTEM beschreibbaren Verzeichnisobjekten anlegen und so möglicherweise privilegierte Dienste oder Treiber manipulieren. Der veröffentlichte PoC ist allerdings unvollständig und enthält nicht die Komponente, die für eine vollständige SYSTEM-Shell nötig wäre.

Der Forscher kritisierte außerdem, Microsoft habe die RedSun-Schwachstelle „still und leise gepatcht“, ohne dafür – anders als bei BlueHammer – einen Bezeichner zu vergeben. Ein Microsoft-Sprecher erklärte gegenüber BleepingComputer, das Unternehmen untersuche gemeldete Sicherheitsprobleme und aktualisiere betroffene Geräte so schnell wie möglich; man unterstütze zudem die koordinierte Offenlegung von Schwachstellen.