SchwachstellenHackerangriffeCloud-Sicherheit

YellowKey: Microsoft veröffentlicht Notfall-Maßnahmen gegen kritische BitLocker-Lücke

Von CyberDeutsch Redaktion
YellowKey: Microsoft veröffentlicht Notfall-Maßnahmen gegen kritische BitLocker-Lücke
Zusammenfassung

Microsoft hat Sicherheitsmaßnahmen gegen YellowKey veröffentlicht, eine kürzlich offengelegte Windows-BitLocker-Sicherheitslücke, die unautorisierten Zugriff auf verschlüsselte Laufwerke ermöglicht. Die Zero-Day-Anfälligkeit wurde von einem anonymen Sicherheitsforscher namens „Nightmare Eclipse" enthüllt, der auch einen funktionsfähigen Exploit-Code veröffentlichte und die Lücke als Hintertür bezeichnete. Durch das Platzieren spezieller Dateien auf einem USB-Laufwerk oder einer EFI-Partition sowie einen Neustart können Angreifer mit unrestriktiven Rechten auf BitLocker-geschützte Speicher zugreifen. Dies ist Teil einer Serie von Lecks durch denselben Forscher, der mehrere weitere kritische Windows-Schwachstellen offenlegte – möglicherweise als Protest gegen Microsofts Handling des Disclosure-Prozesses. Microsoft tracking die Lücke nun unter CVE-2026-45585 und empfiehlt Unternehmen und Privatnutzern dringende Mitigationsmaßnahmen wie das Deaktivieren des autofstx.exe-Eintrags oder die Umstellung auf TPM+PIN-Verschlüsselung. Für deutsche Nutzer und Unternehmen stellt dies eine erhebliche Bedrohung dar, da BitLocker ein Kernschutz für sensible Daten ist – Administratoren sollten die Sicherheitsrichtlinien umgehend implementieren, um ihre Systeme vor potenziellen Angriffen zu schützen.

Die YellowKey-Schwachstelle funktioniert über einen ungewöhnlichen Angriffsweg: Angreifer müssen speziell präparierte ‘FsTx’-Dateien auf einen USB-Stick oder die EFI-Partition platzieren, dann das System in die Windows-Recovery-Umgebung (WinRE) neu starten und durch Drücken der CTRL-Taste eine Shell mit voller Zugriff auf das BitLocker-geschützte Laufwerk aktivieren. Dies stellt eine erhebliche Sicherheitslücke dar, da BitLocker als Standardschutz für verschlüsselte Systeme gilt.

Nightmare Eclipse ist nicht zum ersten Mal in den Schlagzeilen: Der Forscher veröffentlichte in den letzten Wochen mehrere weitere Zero-Days, darunter BlueHammer (CVE-2026-33825) und RedSun – beides lokale Privilege-Escalation-Flaws, die bereits in Angriffen ausgenutzt werden. Hinzu kommen GreenPlasma (eine Privilege-Escalation-Lücke) und UnDefend, das es Standard-Usern ermöglicht, Microsoft Defender-Updates zu blockieren. Nach eigenen Aussagen hat der Forscher diese Offenlegungen als Protest gegen Microsofts Security Response Center (MSRC) initiiert, das angeblich problematisch mit früheren Meldungen umgegangen sein soll.

Microsoft reagierte mit pragmatischen Sofort-Maßnahmen: Das Unternehmen empfiehlt zunächst, den autofstx.exe-Eintrag aus der Registry-Datei des Session Managers zu entfernen. Dies verhindert, dass das FsTx-Auto-Recovery-Utility automatisch beim WinRE-Start aktiviert wird. Zusätzlich sollten Nutzer BitLocker von “TPM-only” auf “TPM+PIN”-Modus umstellen – eine Änderung, die per PowerShell, Befehlszeile oder Systemsteuerung durchgeführt werden kann. Im TPM+PIN-Modus ist eine zusätzliche PIN-Eingabe vor dem Hochfahren erforderlich, was YellowKey-Angriffe blockieren sollte.

Für noch nicht verschlüsselte Geräte empfiehlt Microsoft, die Option “Zusätzliche Authentifizierung beim Start” via Microsoft Intune oder Gruppenrichtlinien zu aktivieren und “PIN-Eingabe mit TPM erforderlich” zu setzen.

Deutsche Administratoren sollten diese Maßnahmen schnellstmöglich umsetzen, besonders in kritischen Infrastrukturen und bei behördlichen Systemen. Ein vollständiger Patch steht noch aus. Die Serie von Zero-Day-Leaks zeigt auch: Die traditionelle Koordination zwischen Sicherheitsforschern und Herstellern gerät zunehmend unter Druck.

Ähnliche Artikel