Manueller Eingriff nötig: Microsoft reagiert auf Yellowkey-Exploit für Bitlocker
Der mit Microsoft zerstrittene Sicherheitsforscher Chaotic Eclipse hatte vor einigen Tagen einen Exploit namens Yellowkey veröffentlicht, mit dem sich die Bitlocker-Verschlüsselung von Windows-Systemlaufwerken umgehen lässt. Jetzt hat Microsoft ein Skript veröffentlicht(öffnet im neuen Fenster), welches Administratoren ausführen können, um anfällige Systeme vor Yellowkey zu schützen. Per Windows-Update kommt der Fix allerdings noch nicht.
Die Yellowkey-Lücke ist jetzt als CVE-2026-45585(öffnet im neuen Fenster) registriert. Microsoft schreibt ihr einen CVSS-Wert von 6,8 und damit einen mittleren Schweregrad zu. Die milde Einstufung ist unter anderem darauf zurückzuführen, dass Angreifer einen physischen Zugriff auf das Zielgerät brauchen. Die Angriffskomplexität ist jedoch gering.
Da der Yellowkey-Exploit schon einige Tage öffentlich verfügbar ist, ist anzunehmen, dass Angreifer diesen früher oder später ausnutzen werden – oder das vielleicht auch schon tun. Auch Microsoft hält das Aufkommen entsprechender Angriffe für "eher wahrscheinlich", wenngleich dem Konzern bisher wohl noch keine konkreten Hinweise auf eine aktive Ausnutzung vorliegen.
Ein Skript soll es richten
Auf Systemen mit besonders kritischen Daten sollten also dringend Schutzmaßnahmen ergriffen werden. Dabei hilft das eingangs genannte Skript, welches in Microsofts Sicherheitsmeldung(öffnet im neuen Fenster) zu finden ist. Dieses bindet bei der Ausführung das WinRE-Image des jeweiligen Systems ein und entfernt die Datei autofstx.exe aus einem Registrierungswert mit dem Namen "BootExecute".
Laut Microsoft wird dadurch verhindert, dass die ausführbare Datei innerhalb der Windows-Wiederherstellungsumgebung mit hohen Berechtigungen ausgeführt wird. Dies soll das Risiko eines erfolgreichen Angriffs verringern.
Die Korrektur soll später, vermutlich zum Juni-Patchday, auch per Windows-Update verteilt werden. Aktuell müssen Anwender sich aber noch selbst um den Schutz ihrer Systeme kümmern. Als anfällige Betriebssysteme listet Microsoft Windows 11 (24H2, 25H2 und 26H1) und Windows Server 2025 auf.
PIN schützt auch – vorerst
Alternativ können Admins Bitlocker auch mit einer zusätzlichen PIN absichern, die dann bei jedem Systemstart eingegeben werden muss. Denn zumindest in seiner aktuellen Form lässt sich der Yellowkey-Exploit nur auf Systemen im TPM-only-Modus ausnutzen. Auch Microsoft versichert, dass eine TPM+PIN-Konfiguration nicht für Yellowkey anfällig ist.
Ob es dabei bleibt, ist jedoch ungewiss. Chaotic Eclipse behauptet in einem Blogbeitrag(öffnet im neuen Fenster), er habe noch einen anderen Exploit, vor dem auch die PIN-Abfrage nicht schütze. Diesen habe er lediglich noch nicht veröffentlicht. "Ich finde, was da draußen kursiert, ist so schon schlimm genug", so seine Argumentation.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.