SchwachstellenDatenschutzHackerangriffe

BitLocker im Visier: Forscher veröffentlicht Exploits für kritische Windows-Sicherheitslücken

Von CyberDeutsch Redaktion
BitLocker im Visier: Forscher veröffentlicht Exploits für kritische Windows-Sicherheitslücken
Zusammenfassung

Eine ernsthafte Sicherheitslücke in Windows bedroht derzeit Millionen von Nutzern weltweit: Ein Cybersicherheitsforscher hat Proof-of-Concept-Exploits für zwei ungepatche Microsoft-Schwachstellen veröffentlicht, die es Angreifern ermöglichen, BitLocker-verschlüsselte Laufwerke zu umgehen. Die als „YellowKey" und „GreenPlasma" bezeichneten Vulnerabilities betreffen Windows 11 und Windows Server 2022/2025. YellowKey funktioniert wie ein Backdoor in der Windows Recovery Environment und ermöglicht Unbefugten, auf verschlüsselte Datenträger zuzugreifen – sogar ohne physischen Zugriff auf externe Speichermedien. Besonders besorgniserregend ist, dass das Exploit auch in TPM-Umgebungen funktioniert. Die Veröffentlichung geschah aus Frustration des Forschers über Microsofts Umgang mit Sicherheitsberichten, was einen beunruhigenden Trend bei der Offenlegung von Zero-Day-Exploits darstellt. Für deutsche Nutzer, Unternehmen und Behörden sind die Auswirkungen erheblich: Systeme mit BitLocker-verschlüsselung – eine weit verbreitete Sicherheitsmaßnahme in Unternehmen und Behörden – sind potenziell gefährdet. Besonders kritisch ist dies für Organisationen, die auf verschlüsselte Datenträger für den Schutz sensibler Informationen angewiesen sind. Microsoft arbeitet an Patches, doch bis dahin bleibt eine erhebliche Sicherheitslücke bestehen.

Der unter den Pseudonymen Chaotic Eclipse und Nightmare Eclipse bekannte Forscher hat sich mit seiner Veröffentlichung bewusst gegen Microsofts etablierte Disclosure-Praktiken gestellt. Der Grund: Unzufriedenheit mit der Bearbeitung seiner Sicherheitsmeldungen durch den Konzern. Dies ist bereits die nächste Eskalation in einer Serie von Exploit-Veröffentlichungen, nachdem der Forscher zuvor die Zero-Day-Lücken BlueHammer (CVE-2026-33825) und RedSun öffentlich gemacht hatte – beide wurden kurz darauf aktiv in Angriffen ausgenutzt.

Das YellowKey-Exploit nutzt eine Schwachstelle in der Windows Recovery Environment (WinRE) aus. Mit speziell präparierten ‘FsTx’-Dateien auf einem USB-Laufwerk oder der EFI-Partition lässt sich nach einem Neustart ein unrestricted Shell-Zugriff auf das von BitLocker geschützte Laufwerk erlangen. Besonders problematisch: Das funktioniert auch ohne externe Speichermedien, indem die Dateien direkt auf die EFI-Partition des Zielgeräts kopiert werden. Der unabhängige Sicherheitsforscher Kevin Beaumont hat das Exploit selbst validiert und attestiert BitLocker damit ein echtes Sicherheitsloch.

GreenPlasma hingegen ist ein Privilege-Escalation-Bug im CTFMON-Prozess, der es unprivilegierten Nutzern ermöglicht, Speichersektionen in systemschreibbaren Verzeichnissen zu erstellen. Dies könnte zum Missbrauch privilegierter Services oder Kerneltreiber führen. Der veröffentlichte PoC ist allerdings unvollständig – der Forscher deutet an, dass nur “intelligente” Angreifer daraus eine vollständige Systemrechte-Eskalation entwickeln können.

Besonders alarmierend für sicherheitskritische Umgebungen: Der Forscher behauptet, dass selbst eine TPM+PIN-Konfiguration bei BitLocker nicht vollständig schützt, hat aber den entsprechenden Exploit (noch) nicht veröffentlicht. Das sendet ein klares Signal an das gesamte Sicherheits-Ökosystem, dass weitere kritische Details zu erwarten sind.

Microsoft hat auf Anfrage erklärt, sich “committed” zur Untersuchung der Sicherheitsprobleme zu bekennen und koordinierte Vulnerability Disclosure zu unterstützen. Allerdings wurde bereits Kritik am “stillen Patchen” der RedSun-Lücke laut, ohne dass ein CVE-Identifier vergeben wurde. Deutsche Sicherheitsverantwortliche sollten ihre Windows-11- und Windows-Server-2022/2025-Installationen genauestens überwachen und sich auf weitere Überraschungen beim nächsten Patch Tuesday vorbereiten.

Ähnliche Artikel