Die Gegenmaßnahmen setzen daran an, das automatische Starten der FsTx Auto Recovery Utility (autofstx.exe) während der Initialisierung des WinRE-Abbilds zu unterbinden. Das erklärt Will Dormann, Senior Principal Vulnerability Analyst bei Tharros Labs.

In seinem Sicherheitshinweis führt Microsoft Verteidiger durch einen mehrstufigen Prozess: Auf jedem Gerät muss das WinRE-Abbild eingebunden, die System-Registrierungs-Hive des Abbilds geladen, die Datei autofstx.exe aus der eingebundenen Hive entfernt, das aktualisierte Abbild eingebunden und anschließend die BitLocker-Vertrauensstellung für WinRE wiederhergestellt werden. Zusätzlich empfiehlt das Unternehmen, BitLocker um eine PIN zu ergänzen. Chaotic Eclipse, der verärgerte Forscher, der den Exploit sowie mehrere weitere Windows-Zero-Days veröffentlicht hat, behauptet jedoch, dass YellowKey auch auf Systemen funktioniert, bei denen der TPM-Schutz (Trusted Platform Module) durch eine PIN ergänzt wurde.

Die zugrundeliegende Schwachstelle hatte Dormann bereits zuvor erläutert: Beim Eintritt in die Windows-Wiederherstellung wird FsTx von einem USB-Stick aus ausgelöst, um die Datei winpeshl.ini zu löschen, die das Verhalten von WinRE im Kern steuert. Der YellowKey-Exploit enthält ein FsTx-Verzeichnis, das auf einem USB-Stick platziert wird und über das Transactional-NTFS-Replay die Datei winpeshl.ini im Ordner System32 löscht. Dem Angreifer wird daraufhin ein Eingabeaufforderungsfenster mit entsperrtem BitLocker präsentiert statt des üblichen Wiederherstellungsmodus.

Dormann sieht den eigentlichen Kern des Problems an anderer Stelle: „So interessant die reine TPM-BitLocker-Umgehung auch ist — die eigentlich entscheidende Erkenntnis ist hier, dass ein Verzeichnis \System Volume Information\FsTx auf einem Volume in der Lage ist, beim Replay den Inhalt eines anderen Volumes zu verändern. Das allein klingt für mich bereits nach einer Schwachstelle."