YellowKey setzt voraus, dass der Angreifer physischen Zugang zum Rechner hat. Die Exploit-Kette beginnt laut dem Forscher damit, einen PoC-Ordner auf ein USB-Laufwerk zu kopieren und dieses an einen Windows-Rechner mit aktiviertem BitLocker anzuschließen; alternativ lasse sich der gleiche Effekt erzielen, indem man die Dateien auf die EFI-Partition kopiert und auf den Wechseldatenträger verzichtet. Anschließend muss das Gerät in die Windows-Wiederherstellungsumgebung (WinRE) gestartet werden – durch Halten der Umschalttaste beim Klick auf „Neu starten", sofortiges Loslassen und anschließendes Gedrückthalten der Strg-Taste, bis sich ein Eingabeaufforderungsfenster mit Zugriff auf den geschützten Datenträger öffnet.

Nach Einschätzung des Forschers liegt YellowKey eine gut versteckte Schwachstelle ohne erkennbare Grundursache zugrunde, die möglicherweise eine absichtlich in BitLocker eingebaute Hintertür sein könnte. Zur Begründung führt Chaotic Eclipse aus: Die für den Fehler verantwortliche Komponente sei nirgends sonst – auch nicht im Internet – auffindbar außer im WinRE-Abbild. Verdächtig sei zudem, dass exakt dieselbe Komponente unter exakt demselben Namen auch in einer normalen Windows-Installation vorhanden sei, dort aber ohne die Funktionen, die die BitLocker-Umgehung auslösen.

Chaotic Eclipse warnte, dass YellowKey auch auf Geräten mit einem TPM-PIN funktioniere – dem benutzerdefinierten Authentifizierungscode, der vor dem Start zum Entsperren abgefragt wird –, verzichtete für diese Variante jedoch auf die Veröffentlichung des PoC. Laut Forschern, die den Exploit getestet haben, etwa JaGoTu, hängt der Erfolg eines Angriffs auf den TPM-PIN offenbar von der jeweiligen WinRE-Implementierung ab. YellowKey erinnert an eine vor einem Jahrzehnt entdeckte Windows-Schwachstelle, bei der das Gedrückthalten von Umschalt+F10 während Funktionsupdates in Windows 10 eine BitLocker-Umgehung ermöglichte und eine Shell mit Administratorrechten bei deaktiviertem BitLocker öffnete.

Beim zweiten Exploit, GreenPlasma, veröffentlichte Chaotic Eclipse einen PoC, dem der Code für eine vollständige System-Shell fehlt. „Der PoC erzeugt ein beliebiges Speicherabschnitt-Objekt in jedem Verzeichnisobjekt, das für System beschreibbar ist", so der Forscher; damit ließen sich verschiedene Windows-Dienste einschließlich Kernelmodustreibern manipulieren.

Joshua Roback, Principal Security Solution Architect bei Swimlane, betonte, jeder Weg zu System-Rechten verdiene genaue Prüfung: Bei vollständiger Ausnutzung könne eine solche Rechteausweitung Angreifern erlauben, Schutzmechanismen abzuschalten, vertrauenswürdige Prozesse zu manipulieren, Malware auszubringen oder die kompromittierte Maschine als Sprungbrett ins weitere Netzwerk zu nutzen. Ross Filipek, CISO bei Corsica Technologies, verwies darauf, dass öffentlich gemachte Zero-Days das Risiko grundsätzlich verschöben, weil sie die Zeitspanne zwischen Entdeckung und Ausnutzung verkürzten; selbst ein eingeschränkter Exploit liefere Angreifern einen Ausgangspunkt, den sie testen, anpassen und in größere Angriffsketten einbauen könnten.

SecurityWeek hat Microsoft um eine Stellungnahme zu den Zero-Day-Exploits gebeten und will den Artikel bei einer Antwort aktualisieren. Bereits zuvor hatte Chaotic Eclipse PoC-Code zu BlueHammer veröffentlicht, einem von Microsoft am April-Patchday behobenen Fehler in Windows Defender; Angreifer begannen vier Tage vor Auslieferung der Korrekturen mit dessen Ausnutzung.