Nach Zoff mit Microsoft: Forscher leakt Zero-Day-Exploit für Bitlocker
Der Sicherheitsforscher Chaotic Eclipse, der nach Streit mit Microsoft in den letzten Wochen schon mehrfach Zero-Day-Lücken in Windows-Komponenten geleakt hatte, hat pünktlich zum Mai-Patchday nochmal nachgelegt. In einem neuen Blogbeitrag(öffnet im neuen Fenster) verweist er auf zwei Github-Repositorys mit weiteren Exploits. Einer davon umgeht die Bitlocker-Verschlüsselung, der andere dient einer Rechteausweitung, ist aber unvollständig.
Der Bitlocker-Exploit hört auf den Namen Yellowkey(öffnet im neuen Fenster). Der Forscher bezeichnet die damit ausgenutzte Lücke als Backdoor. "Mir fällt einfach keine andere Erklärung ein, als dass dies absichtlich so gemacht wurde", so Chaotic Eclipse. Betroffen sind aber nur Windows Server 2022 und 2025 sowie Windows 11. Unter Windows 10 soll sich der Fehler nicht ausnutzen lassen.
Für die Ausnutzung muss den Angaben zufolge der im Repository enthaltene Ordner FsTx beispielsweise auf einen USB-Stick kopiert und das Zielsystem anschließend mit eingestecktem Stick in die Windows-Wiederherstellungsumgebung (WinRE) gestartet werden. Danach muss ein Neustart initiiert und dabei die Strg-Taste gehalten werden. Die Folge: Es erscheint eine Shell, die Zugriff auf das verschlüsselte Laufwerk gewährt.
Zweiter Exploit unvollständig
Dass der Yellowkey-Exploit funktioniert, bestätigten(öffnet im neuen Fenster) bereits mehrere Sicherheitsforscher, darunter auch der Microsoft-Experte Kevin Beaumont(öffnet im neuen Fenster). Laut Beaumont lässt sich Yellowkey aber wohl nur ausnutzen, wenn Bitlocker nicht mit einer Pin abgesichert ist. Der Forscher empfiehlt daher die Vergabe einer Pin sowie eines Bios-Passwortes als vorbeugende Maßnahmen.
Den zweiten Exploit hat Chaotic Eclipse Greenplasma(öffnet im neuen Fenster) genannt. Angreifer sollen sich damit zumindest unter Windows Server 2022, 2025 und Windows 11 Systemrechte verschaffen können. Im Repository fehlen allerdings wichtige Codebestandteile, so dass der Exploit in der geleakten Form nicht funktioniert. Der Forscher beschnitt den Code nach eigenen Angaben absichtlich.
Forscher kündigt weitere "Überraschung" an
Dass Chaotic Eclipse die beiden Exploits pünktlich zum Patchday geleakt hat, ist kein Zufall. Der Forscher hatte zuletzt mehrfach seinen Unmut gegenüber Microsoft geäußert und unter anderem Exploits für Bluehammer und Redsun veröffentlicht – zwei Lücken im Windows Defender, mit denen sich Angreifer Systemrechte verschaffen können. Beide waren zum Zeitpunkt der Offenlegung ungepatcht.
Dass die neuen Exploits nun andere Windows-Komponenten betreffen und nicht erneut auf den Defender abzielen, ist ebenfalls Absicht. "Ich weiß, dass Microsoft die Zügel anziehen wird, wenn ich zu oft auf eine bestimmte Komponente abziele. Fragt nicht, woher ich das weiß", erklärt der Forscher in seinem Blogbeitrag(öffnet im neuen Fenster).
Chaotic Eclipse wirft Microsoft vor, "kindische Spielchen" zu spielen und "die Situation immer schlimmer" zu machen, anstatt sie "wie Erwachsene zu lösen". Details zu den Vorkommnissen, die den Forscher zu seinen Handlungen angeregt haben, nennt er aber weiterhin nicht. Für den nächsten Patchday kündigt er allerdings schon jetzt an, wieder "eine große Überraschung" für Microsoft zu haben. Es ist also mit weiteren Zero-Day-Exploits zu rechnen.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.