SchwachstellenHackerangriffeCloud-Sicherheit

Windows-Sicherheitskrise: Unbekannter Forscher offenbart sechs kritische Zero-Days gegen Microsoft

Von CyberDeutsch Redaktion
Windows-Sicherheitskrise: Unbekannter Forscher offenbart sechs kritische Zero-Days gegen Microsoft
Zusammenfassung

Die Sicherheitsforscherin „Nightmare Eclipse" hat in den vergangenen sechs Wochen sechs kritische Windows-Sicherheitslücken offengelegt, darunter zwei neue Zero-Days, die unmittelbar nach Microsofts Patch Tuesday bekannt gemacht wurden. Die Anfälligkeit YellowKey ermöglicht es Angreifern mit physischem Zugriff, die BitLocker-Verschlüsselung zu umgehen und auf verschlüsselte Laptops zuzugreifen. GreenPlasma betrifft Windows 10, 11 und Server-Systeme und erlaubt eine Privilegiensteigerung zur SYSTEM-Ebene. Besonders bemerkenswert ist MiniPlasma, ein Exploit für eine Lücke aus dem Jahr 2020, die Microsoft eigentlich gepatcht hatte – der ursprüngliche Exploit funktioniert jedoch unverändert weiterhin. Diese koordinierten Offenlegungen unmittelbar nach Patch Tuesday, kombiniert mit fehlender Koordination mit Microsoft, schaffen eine gefährliche Situation für deutsche Nutzer und Unternehmen. Besonders kritisch ist die Erkenntnis, dass etablierte Windows-Sicherheitsmechanismen wie Defender und BitLocker nicht uneingeschränkt vertrauenswürdig sind. Deutsche Organisationen müssen ihre Sicherheitsstrategien überdenken und sich nicht allein auf Patches verlassen, sondern zusätzliche Schutzmaßnahmen wie Allowlisting und Privilege-Restriction implementieren. Die Behörden sollten Unternehmen zur Umsetzung umfassenderer Sicherheitskonzepte beraten.

Drei neue Schwachstellen wurden unmittelbar nach Microsofts Sicherheits-Update im Mai 2026 offengelegt: YellowKey, GreenPlasma und MiniPlasma. Sie reihen sich in eine Serie ein, die zeigt, wie fragmentiert Microsofts Sicherheitsarchitektur geworden ist.

YellowKey gilt als besonders tückisch. Die Sicherheitsforscher von LevelBlue beschreiben die Lücke als physische Attacke auf BitLocker-Verschlüsselung: Ein Angreifer mit USB-Zugriff kann eine präparierte USB-Stick in einen gesperrten Laptop stecken, das System in die Windows Recovery Environment (WinRE) booten und durch eine spezifische Tastenkombination die Verschlüsselung vollständig umgehen – ohne Passwort, PIN oder TPM-Bypass. Das ist für Innentäter oder Diebe eine kritische Bedrohung.

GreenPlasma betrifft Windows 10, Windows 11 und Windows Server. Die Schwachstelle ermöglicht Privilege Escalation auf SYSTEM-Ebene über eine Komponente zur Texteingabe-Verwaltung. Wenn vollständig ausgenutzt, können Angreifer Zugangsdaten ernten, sich lateral im Netzwerk bewegen und Sicherheitsmechanismen umgehen. Allerdings ist das veröffentlichte Proof-of-Concept noch unvollständig – ein Angreifer bräuchte tieferes Windows-Wissen für die vollständige Ausnutzung. Sicherheitsexperten warnen jedoch vor Kombinationen mit Social-Engineering-Angriffen: Ein Angreifer könnte ein Benutzer überreden, Remote-Management-Software zu installieren, um dann die Schwachstelle remote auszunutzen.

MiniPlasma ist besonders ärgerlich: Es ist ein Exploit für CVE-2020-17103, eine Lücke im Windows Cloud Files Mini Filter Driver, die Google’s Project Zero bereits 2020 Microsoft meldete. Microsoft patched die Lücke damals – doch der ursprüngliche Proof-of-Concept funktioniert bis heute noch auf vollständig gepatchten Windows-11-Systemen. “Nightmare Eclipse” hat den PoC nun als funktionierenden Exploit weiterentwickelt.

Die bisherige Microsoft-Bilanz ist schwach: Nur BlueHammer (CVE-2026-33825) erhielt CVE-Nummern und Patches. RedSun wurde Berichten zufolge stillschweigend adressiert, ohne öffentliche Ankündigung. Die anderen Lücken bleiben ungepacht.

Experten warnen vor einem neuen Angriffsmuster. Statt auf Patches zu verlassen, müssen Organisationen auf Deny-by-Default-Strategien setzen: Anwendungswhitelisting, Privilege-Restriction und Endpoint Detection & Response (EDR) als letzte Verteidigungslinie. Die Botschaft ist klar: Patchmanagement allein reicht nicht mehr aus.

Ähnliche Artikel