Die YellowKey-Schwachstelle wurde von Sicherheitsforscher Chaotic Eclipse (Nightmare-Eclipse) öffentlich gemacht und verstößt damit gegen etablierte Koordinationspraktiken im Vulnerability Disclosure. Das Exploit-Konzept ist nun im öffentlichen Raum verfügbar – ein zusätzliches Risiko für alle betroffenen Systeme.
Die Angriffsmethode ist physisch bedingt, aber effektiv: Ein Angreifer muss lediglich speziell präparierte Dateien im FsTx-Format auf einen USB-Stick oder eine EFI-Partition kopieren, das Medium in einen BitLocker-geschützten Computer stecken und das System neu starten. Nach dem Hochfahren in die Windows Recovery Environment (WinRE) genügt das Drücken der CTRL-Taste, um eine Eingaufforderung mit uneingeschränktem Zugriff auf das verschlüsselte Volume zu erhalten.
Microsoft hat mehrere Mitigationsmaßnahmen veröffentlicht. Die Kernmaßnahme besteht darin, das Programm autofstx.exe (FsTx Auto Recovery Utility) daran zu hindern, automatisch beim Start von WinRE zu laden. Dies verhindert das Transactional-NTFS-Replay, das die Datei winpeshl.ini löscht – einen entscheidenden Schritt im Exploit-Prozess.
Zusätzlich empfiehlt Microsoft dringend, bereits verschlüsselte Geräte von “TPM-only” auf “TPM+PIN”-Modus umzustellen. Dies erfordert eine PIN zur Entschlüsselung beim Systemstart und macht YellowKey-Angriffe praktisch unwirksam. Die Umstellung ist über PowerShell, Kommandozeile oder die Systemsteuerung möglich.
Für noch nicht verschlüsselte Systeme sollten Administratoren über Microsoft Intune oder Group Policies die Option “Zusätzliche Authentifizierung beim Start erforderlich” aktivieren und “TPM-Startup-PIN konfigurieren” auf “PIN mit TPM erforderlich” setzen.
Deutsche Organisationen sollten diese Schritte zeitnah in ihre Sicherheitsrichtlinien integrieren. Die Gefahr ist real: Physischer Zugriff auf Unternehmensgeräte ist im Kontext von Diebstahl, Wartung oder Reparaturen durchaus wahrscheinlich. Mit den richtigen Konfigurationen lässt sich das Risiko jedoch erheblich senken.