SchwachstellenCyberkriminalitätDatenschutz

Windows-Sicherheit in Gefahr: Forscher veröffentlicht BitLocker-Bypass und Privilege-Escalation-Exploits

Von CyberDeutsch Redaktion
Windows-Sicherheit in Gefahr: Forscher veröffentlicht BitLocker-Bypass und Privilege-Escalation-Exploits
Zusammenfassung

Ein Sicherheitsforscher hat diese Woche zwei kritische Windows-Sicherheitslücken öffentlich gemacht, die gravierende Folgen für Millionen von Nutzern weltweit haben könnten. Die erste Schwachstelle mit dem Namen YellowKey ermöglicht es Angreifern mit physischem Zugriff, die BitLocker-Verschlüsselung von Windows 11 zu umgehen und damit vollständigen Zugriff auf verschlüsselte Festplatten zu erlangen. Die zweite Lücke namens GreenPlasma ermöglicht eine Privilege-Escalation bis zur System-Ebene, was Angreifern die Übernahme des gesamten Computers erlaubt. Besonders beunruhigend ist die sofortige Veröffentlichung von funktionierenden Proof-of-Concept-Exploits, die es Cyberkriminellen ermöglicht, diese Lücken unmittelbar auszunutzen. Für Deutschland sind die Implikationen erheblich: Unternehmen mit mobilen Mitarbeitern, die vertrauliche Daten auf verschlüsselten Laptops speichern, müssen mit erhöhtem Diebstahl- und Datenabflussrisiko rechnen. Auch Behörden und kritische Infrastrukturen könnten zum Ziel werden. Solange Microsoft keine Patches veröffentlicht, bleibt die Bedrohung akut und erfordert sofortige Schutzmaßnahmen.

BitLocker ist Microsofts integriertes Verschlüsselungssystem für Festplatten und wird von vielen deutschen Unternehmen, Behörden und Privatnutzern eingesetzt, um sensible Daten zu schützen. Das System basiert auf dem Trusted Platform Module (TPM), einer Hardware-Komponente, die Verschlüsselungsschlüssel sichern soll. Der Forscher unter dem Pseudonym „Chaotic Eclipse” hat jedoch gezeigt, dass diese vermeintliche Sicherheit durchbrochen werden kann.

Die YellowKey-Schwachstelle funktioniert folgendermaßen: Ein Angreifer mit physischem Zugriff auf einen Windows-11-Rechner kann Dateien auf ein USB-Laufwerk kopieren oder die EFI-Partition manipulieren. Anschließend startet er die Windows Recovery Environment (WinRE) neu und öffnet über eine Tastenkombination (Shift+Neustart, dann Ctrl) eine Eingabeaufforderung mit vollem Zugriff auf die verschlüsselte Partition. Mehrere renommierte Sicherheitsforscher, darunter Kevin Beaumont und Will Dormann, haben den Exploit bestätigt.

Besonders bemerkenswert ist Chaotic Eclipse’ Vermutung, dass es sich um eine absichtlich eingebaute Hintertür handeln könnte. Der Forscher weist darauf hin, dass die fehlerhafte Komponente nur in der WinRE-Umgebung existiert, aber nicht im Internet zu finden ist – eine ungewöhnliche Situation, die Verdacht erregt.

Der zweite Exploit, GreenPlasma, ermöglicht Privilege-Escalation bis zur System-Ebene. Joshua Roback, Sicherheitsexperte bei Swimlane, warnt, dass Angreifer damit Sicherheitsmechanismen deaktivieren, vertrauenswürdige Prozesse manipulieren und Malware einschleusen könnten. Ross Filipek, CISO bei Corsica Technologies, betont, dass die Veröffentlichung von Proof-of-Concept-Code das Risiko erheblich erhöht. Angreifer können diese nun schnell weiterentwickeln und produktiv einsetzen.

Dies ist nicht das erste Mal, dass Chaotic Eclipse ungepatshte Microsoft-Schwachstellen veröffentlicht. Der Forscher protestiert gegen die aus seiner Sicht unzureichende Handhabung von Sicherheitsberichten durch Microsoft. Im April hatte der gleiche Forscher bereits den BlueHammer-Exploit freigegeben – Cyberkriminelle nutzten ihn vier Tage vor dem offiziellen Patch.

Microsoft hat bislang nicht öffentlich Stellung genommen. Deutsche Unternehmen sollten ihre Windows-Systeme überwachen und auf offizielle Patches vom BSI oder Microsoft warten.

Ähnliche Artikel