YellowKey ist nicht die einzige Offenlegung von Nightmare Eclipse. Der Forscher veröffentlichte zuvor die beiden lokalen Rechteausweitungs-Zero-Days BlueHammer (CVE-2026-33825) und RedSun (ohne Kennung), die laut den Angaben inzwischen in Angriffen ausgenutzt werden. Hinzu kommen GreenPlasma, eine Zero-Day-Lücke zur Rechteausweitung, über die Angreifer eine SYSTEM-Shell erlangen können, sowie UnDefend, mit der Angreifer mit gewöhnlichen Benutzerrechten die Aktualisierung der Definitionen von Microsoft Defender blockieren können.

Was diese Serie von Exploit-Veröffentlichungen ausgelöst hat, ist weiterhin unklar. Nightmare Eclipse erklärte zuvor, die Offenlegungen erfolgten aus Protest gegen den Umgang des Microsoft Security Response Center (MSRC) mit früher gemeldeten Sicherheitslücken.

In seinem Hinweis erklärte Microsoft, man sei sich einer Schwachstelle zur Umgehung eines Sicherheitsmerkmals in Windows bewusst, die öffentlich als „YellowKey" bezeichnet werde. Der Proof-of-Concept sei veröffentlicht worden und verstoße damit gegen bewährte Verfahren der koordinierten Offenlegung. Die CVE-Nummer werde vergeben, um Hinweise zur Schadensbegrenzung bereitzustellen, bis ein Sicherheitsupdate verfügbar sei.

Zur Abwehr empfiehlt Microsoft, den Eintrag autofstx.exe aus dem REG_MULTI_SZ-Wert BootExecute des Session Managers zu entfernen und anschließend das BitLocker-Vertrauen für WinRE wiederherzustellen — nach dem Verfahren, das im Abschnitt „Mitigations" des Hinweises zu CVE-2026-33825 beschrieben ist.

Will Dormann, leitender Schwachstellenanalyst bei Tharros, erläuterte den Hintergrund: Konkret werde verhindert, dass das FsTx-Wiederherstellungswerkzeug autofstx.exe beim Start des WinRE-Abbilds automatisch ausgeführt wird. Mit dieser Änderung finde das Wiedereinspielen über Transactional NTFS, das die Datei winpeshl.ini löscht, nicht mehr statt.

Darüber hinaus rät Microsoft, BitLocker auf bereits verschlüsselten Geräten vom Modus „nur TPM" auf „TPM+PIN" umzustellen — über PowerShell, die Kommandozeile oder die Systemsteuerung. Dadurch ist beim Start eine PIN vor dem Bootvorgang erforderlich, um das Laufwerk zu entschlüsseln, was YellowKey-Angriffe blockieren soll.

Auf noch nicht verschlüsselten Geräten können Administratoren über Microsoft Intune oder Gruppenrichtlinien die Option „Zusätzliche Authentifizierung beim Start anfordern" aktivieren und dabei sicherstellen, dass „TPM-Start-PIN konfigurieren" auf „Start-PIN mit TPM anfordern" gesetzt ist.