SchwachstellenDatenschutzCybersicherheit

Microsoft behebt kritische BitLocker-Umgehung YellowKey – Physischer Zugriff reicht für Verschlüsselungsbypass

Von CyberDeutsch Redaktion
Microsoft behebt kritische BitLocker-Umgehung YellowKey – Physischer Zugriff reicht für Verschlüsselungsbypass
Zusammenfassung

Microsoft hat am Dienstag Abhilfemaßnahmen gegen „YellowKey" veröffentlicht, eine kürzlich entdeckte Zero-Day-Sicherheitslücke, die es ermöglicht, die Festplattenverschlüsselung BitLocker zu umgehen. Die als CVE-2026-45585 eingestufte Schwachstelle ermöglicht es Angreifern mit physischem Zugriff auf ein System, mittels eines USB-Laufwerks mit öffentlich verfügbarem Exploit-Code das Gerät neu zu starten und die Windows-Wiederherstellungsumgebung zu manipulieren. Dadurch erhalten sie Zugriff auf verschlüsselte Daten, die eigentlich durch BitLocker geschützt sein sollten. Die Lücke betrifft insbesondere Unternehmensgeräte und kritische Infrastrukturen in Deutschland und weltweit, wo BitLocker standardmäßig zum Schutz sensibler Daten eingesetzt wird. Microsofts Lösung besteht darin, das automatische Starten des FsTx Auto Recovery Utilities zu verhindern. Der Sicherheitsforscher, der den Exploit veröffentlichte, behauptet jedoch, dass die Sicherheitslücke auch auf Systemen mit TPM und PIN funktioniert. Für deutsche Unternehmen und Behörden bedeutet dies eine erhebliche Bedrohung, insbesondere für mobile Arbeitsgeräte und Laptops. Sofortige Implementierung der Microsofts empfohlenen Mitigationen ist erforderlich.

Die YellowKey-Schwachstelle nutzt eine Schwachstelle im Windows Recovery Environment (WinRE) aus. Angreifer können diese exploitieren, indem sie einen USB-Stick mit dem Exploit-Code verwenden und das System in den Wiederherstellungsmodus neu starten. Statt der erwarteten Wiederherstellungsumgebung erhalten sie Zugriff auf eine Command-Shell mit Zugriff auf alle Partitionsinhalte – völlig ungeschützt durch BitLocker.

Microsoft bestätigt in seiner Sicherheitsempfehlung die öffentliche Verfügbarkeit des Exploits und warnt: “Ein erfolgreicher Angreifer könnte die BitLocker-Verschlüsselung des Systemlaufwerks umgehen und auf verschlüsselte Daten zugreifen.” Das Unternehmen hat einen mehrstufigen Mitigationsprozess veröffentlicht. Dieser beinhaltet das Mounten des WinRE-Images auf jedem Gerät, das Laden der Systemregistrierungs-Hive und das Entfernen der Datei autofstx.exe – der FsTx Auto Recovery Utility. Damit wird verhindert, dass die Utility automatisch beim Start von WinRE lädt.

Die eigentliche Schwachstelle liegt tiefer: Sie nutzt Transactional NTFS aus, um die Datei winpeshl.ini zu löschen, die das Verhalten von WinRE kontrolliert. Indem ein FsTx-Verzeichnis auf dem USB-Stick platziert wird, kann der Replay-Mechanismus von NTFS ausgelöst werden, um Dateien auf einem anderen Volume zu modifizieren – ein grundsätzliches Sicherheitsproblem, das über diese spezifische Schwachstelle hinausgeht.

Microsoft empfiehlt zusätzlich, BitLocker mit einer PIN zu schützen. Allerdings behauptet Forscher Chaotic Eclipse, dass YellowKey auch auf Systemen mit TPM-PIN-Schutz funktioniert – was die Effektivität dieser Maßnahme in Frage stellt.

Für deutsche Organisationen bedeutet dies erhebliche Handlungserfordernisse. Das BSI sollte diese Schwachstelle zeitnah in seine Warnungen aufnehmen. Unternehmen müssen die Mitigationen zeitnah implementieren, insbesondere solche mit mobilen Geräten oder sensiblen Daten. Die Kombination aus einfachem Angriffsvektor (USB-Stick) und hohem Impact (kompletter Verschlüsselungsbypass) macht dies zu einer priorisierten Bedrohung.

Ähnliche Artikel