Microsoft schließt drei Windows-Zero-Days, darunter BitLocker-Bypass YellowKey

Zusammenfassung

Microsoft hat mit den Patch-Tuesday-Updates im Juni 2026 drei Zero-Day-Schwachstellen in Windows geschlossen. Zwei davon erlauben laut dem Unternehmen auf vollständig gepatchten Systemen eine Rechteausweitung bis auf SYSTEM-Ebene, die dritte eröffnet Zugriff auf BitLocker-geschützte Laufwerke. Veröffentlicht wurden die Lücken bereits im vergangenen Monat von einem Sicherheitsforscher unter dem Pseudonym „Nightmare Eclipse“, der dies nach eigenen Angaben aus Protest gegen den Umgang des Microsoft Security Response Center (MSRC) mit dem Offenlegungsprozess tat. Bei den beiden LPE-Schwachstellen handelt es sich um „GreenPlasma“ und „MiniPlasma“, die als CVE-2026-45586 und CVE-2020-17103 erfasst sind. Die dritte Lücke, „YellowKey“ (CVE-2026-45585), betrifft die Windows Recovery Environment (WinRE). Microsoft veröffentlichte neben dem Patch auch Maßnahmen zur Abschwächung möglicher Angriffe über YellowKey und kritisierte zugleich, dass ein Proof-of-Concept öffentlich gemacht worden sei.

Die beiden nun geschlossenen LPE-Zero-Days „GreenPlasma“ und „MiniPlasma“ stecken in der Collaborative Translation Framework-Komponente CTFMON sowie im Cloud Files Mini Filter Driver. Nach den Angaben im Quelltext können lokale Angreifer darüber auf vollständig gepatchten Windows-Systemen eine Shell mit SYSTEM-Berechtigungen erhalten. Erfasst sind die Schwachstellen als CVE-2026-45586 und CVE-2020-17103.

Die dritte von Microsoft geschlossene Zero-Day-Schwachstelle trägt den Namen „YellowKey“ und wird als CVE-2026-45585 geführt. Sie fungiert als Hintertür in der Windows Recovery Environment, also der Windows-Wiederherstellungsumgebung, die zur Reparatur von Startproblemen eingesetzt wird. Angreifer mit physischem Zugriff auf betroffene Geräte können mit einem YellowKey-Exploit laut Quelltext den BitLocker-Schutz auf ungepatchten Systemen mit Windows 11 sowie Windows Server 2022 und 2025 umgehen.

Microsoft teilte für YellowKey zusätzliche Gegenmaßnahmen mit, um sich gegen mögliche Angriffe zu schützen, die die Lücke bereits praktisch ausnutzen könnten. Gleichzeitig beklagte das Unternehmen, dass der zugehörige Proof-of-Concept „unter Missachtung bewährter Verfahren zur koordinierten Offenlegung von Schwachstellen“ veröffentlicht worden sei.

Alle drei Schwachstellen waren im vergangenen Monat von dem Forscher „Nightmare Eclipse“ offengelegt worden. Der Forscher begründete die Veröffentlichung laut Quelltext mit Protest gegen den Umgang des Microsoft Security Response Center mit dem Offenlegungsprozess. Microsoft schloss GreenPlasma, MiniPlasma und YellowKey am Dienstag im Rahmen des Patch Tuesday vom Juni 2026.

Nightmare Eclipse hatte in den vergangenen Monaten bereits weitere Zero-Day-Exploits veröffentlicht. Dazu zählen „BlueHammer“ (CVE-2026-33825) und „RedSun“ ohne Kennung, zwei lokale Rechteausweitungen, die dem Quelltext zufolge inzwischen aktiv in Angriffen ausgenutzt werden. Zudem veröffentlichte der Forscher „UnDefend“, eine Zero-Day-Schwachstelle, mit der Angreifer mit normalen Benutzerrechten Updates der Microsoft-Defender-Signaturen blockieren können.

Erst kürzlich legte Nightmare Eclipse wenige Stunden nach Veröffentlichung der Sicherheitspatches dieses Monats einen weiteren Defender-Zero-Day-Exploit offen. Die Schwachstelle mit dem Namen „RoguePlanet“ soll Bedrohungsakteuren ermöglichen, Eingabeaufforderungen mit SYSTEM-Berechtigungen zu starten.

Microsoft hatte auf die Leaks zunächst mit der Androhung rechtlicher Schritte reagiert, diesen Kurs nach heftiger Kritik in sozialen Medien jedoch wieder aufgegeben. Stattdessen erklärte das Unternehmen, man werde mit Strafverfolgungsbehörden zusammenarbeiten, wenn Sicherheitsforscher „gegen das Gesetz verstoßen und sich an böswilligen Aktivitäten beteiligen, die unseren Kunden echten Schaden zufügen“.

Microsoft schließt drei Windows-Zero-Days, darunter BitLocker-Bypass YellowKey

Ähnliche Artikel

Neueste Artikel