Offengelegt wurde YellowKey nach Angaben von Microsoft durch einen Sicherheitsforscher, der unter dem Namen Chaotic Eclipse (auch Nightmare-Eclipse) auftritt. Das beschriebene Vorgehen setzt physischen Zugriff auf das Zielgerät voraus: Angreifer platzieren speziell präparierte „FsTx"-Dateien auf einem USB-Stick oder in der EFI-Partition, stecken den Stick in einen Windows-Rechner mit aktiviertem BitLocker-Schutz, starten in die Windows-Wiederherstellungsumgebung (WinRE) und lösen durch Gedrückthalten der STRG-Taste eine Eingabeaufforderung mit uneingeschränktem Zugriff aus.
„Wenn Sie alles richtig gemacht haben, öffnet sich eine Shell mit uneingeschränktem Zugriff auf das BitLocker-geschützte Volume", beschrieb der Forscher das Ergebnis in einem Beitrag auf GitHub. Microsoft bestätigt, dass eine erfolgreiche Ausnutzung es einem Angreifer mit physischem Zugriff ermöglichen könnte, die Geräteverschlüsselung von BitLocker auf dem Speichergerät zu umgehen und auf verschlüsselte Daten zuzugreifen.
Zur Eindämmung des Risikos hat Microsoft mehrere Maßnahmen umrissen. Der Sicherheitsforscher Will Dormann erläuterte, dass dabei verhindert werde, dass das FsTx-Auto-Recovery-Werkzeug autofstx.exe beim Start des WinRE-Abbilds automatisch ausgeführt wird. Mit dieser Änderung finde das transaktionale Wiedereinspielen von NTFS, das die Datei winpeshl.ini löscht, nicht mehr statt. Empfohlen werde zudem der Wechsel vom reinen TPM-Schutz zu TPM+PIN.
Microsoft hob hervor, dass sich Nutzer absichern können, indem sie BitLocker auf bereits verschlüsselten Geräten vom Schutz „nur TPM" auf den Modus „TPM+PIN" umstellen – über PowerShell, die Befehlszeile oder die Systemsteuerung. Dadurch wird beim Start eine PIN zur Entschlüsselung des Laufwerks verlangt, was YellowKey-Angriffe wirksam verhindert.
Für noch nicht verschlüsselte Geräte rät Microsoft Administratoren, über Microsoft Intune oder Gruppenrichtlinien die Option „Zusätzliche Authentifizierung beim Start anfordern" zu aktivieren und sicherzustellen, dass „TPM-Start-PIN konfigurieren" auf „Start-PIN mit TPM anfordern" gesetzt ist.
