SchwachstellenCloud-SicherheitHackerangriffe

Kritische Windows-Lücken: BitLocker-Umgehung und Privilege Escalation entdeckt

Von CyberDeutsch Redaktion
Kritische Windows-Lücken: BitLocker-Umgehung und Privilege Escalation entdeckt
Zusammenfassung

Eine anonyme Cybersicherheitsforscherin hat zwei kritische Windows-Sicherheitslücken offengelegt, die unter den Codenamen YellowKey und GreenPlasma bekannt sind und ernsthafte Bedrohungen für die Sicherheit deutscher Systeme darstellen. YellowKey ermöglicht es Angreifern mit physischem Zugriff, die BitLocker-Verschlüsselung – Microsofts Standard-Verschlüsselungslösung – auf Windows 11 und Windows Server 2022/2025 zu umgehen, indem sie speziell manipulierte Dateien auf einem USB-Stick platzieren und die Windows Recovery Environment ausnutzen. Die zweite Lücke, GreenPlasma, betrifft das Windows Collaborative Translation Framework und ermöglicht Privilege-Escalation-Angriffe, durch die Angreifer Administratorrechte erlangen können. Diese Disclosure erfolgt vor dem Hintergrund eines Konflikts zwischen der Forscherin und Microsoft über die Handhabung von Sicherheitsmeldungen. Für deutsche Unternehmen und Behörden, die auf BitLocker für Datenschutz verlassen, sowie für Privatnutzer mit verschlüsselten Windows-Systemen ist dies besonders besorgniserregend. Die Lücken betreffen potenziell Millionen von Systemen im deutschsprachigen Raum und unterstreichen die Notwendigkeit, physischen Zugriff auf Geräte zu kontrollieren und Sicherheitspatches zeitnah einzuspielen.

Der unter den Pseudonymen Chaotic Eclipse und Nightmare-Eclipse bekannte Forscher hatte bereits im Mai drei Microsoft-Defender-Lücken (BlueHammer, RedSun, UnDefend) veröffentlicht. Die neue Offenlegung deutet auf einen Konflikt mit Microsofts Vulnerability-Disclosure-Prozess hin — der Forscher kritisiert, dass das Unternehmen nicht transparent genug mit Sicherheitsmeldungen umgeht.

YellowKey: Das BitLocker-Debakel

Die Funktionsweise ist bemerkenswert simpel und damit besonders gefährlich: Ein Angreifer erstellt speziell präparierte “FsTx”-Dateien auf einem USB-Stick oder der EFI-Partition, setzt den USB-Stick an einem BitLocker-geschützten Windows-Computer an, startet in die WinRE neu und triggert über die CTRL-Taste eine Command Shell. Das System ist dann vollständig entsperrt — unabhängig davon, ob TPM oder PIN aktiv sind.

Der Sicherheitsforscher Will Dormann bestätigte die Reproduzierbarkeit und identifizierte das Kernproblem: Transactional NTFS (TxF) auf einem USB-Laufwerk kann Dateien auf anderen Laufwerken löschen. Konkret löscht es winpeshl.ini auf dem X:-Laufwerk, wodurch die Recovery-Umgebung übernommen wird. Dormann warnt vor der grundsätzlichen Architektur: Ein System Volume Information-Verzeichnis auf einem Volume kann Inhalte auf anderen Volumes manipulieren — das ist eine Schwachstelle im Design selbst.

GreenPlasma: Privilege Escalation via CTFMON

Die zweite Lücke betrifft Windows CTFMON (Collaborative Translation Framework Monitor) und ermöglicht es Standardbenutzern, beliebige Memory-Section-Objekte mit SYSTEM-Berechtigung zu erstellen. Damit können privilegierte Services oder Treiber manipuliert werden, die diese Pfade implizit vertrauen. Das PoC-Exploit ist bislang unvollständig, deutet aber auf hohes Exploitations-Potential hin.

Zusätzliche BitLocker-Gefahr

Parallel warnt das französische Sicherheitsunternehmen Intrinsec vor einer Angriffskette über CVE-2025-48804 (CVSS 6.8), die BitLocker in unter fünf Minuten umgeht — durch Boot-Manager-Downgrade. Microsofts Patch vom Juli 2025 ist unzureichend, da Secure Boot nur Signaturzertifikate, nicht deren Versionsnummern prüft. Das alte PCA 2011-Zertifikat bleibt bis Juni 2026 gültig und kann noch für Angriffe genutzt werden.

Handlungsempfehlungen

Für deutsche Organisationen gelten klare Sofortmaßnahmen: BitLocker-PIN bei jedem Start aktivieren, Boot-Manager auf CA 2023-Zertifikat migrieren und PCA 2011 sofort revozieren. Das BSI wird voraussichtlich zeitnah eine Technische Richtlinie aktualisieren.

Ähnliche Artikel