BitLocker-Bypass „YellowKey”: Wenn ein USB-Stick die Festplattenverschlüsselung aushebelt

BitLocker-Bypass „YellowKey”: Wenn ein USB-Stick die Festplattenverschlüsselung aushebelt

CVE-2026-45585 – warum die Schwachstelle nicht in der Verschlüsselung, sondern in der Wiederherstellungsumgebung steckt, und was Sie jetzt tun müssen

Eine der unangenehmsten Windows-Schwachstellen der letzten Monate trägt einen harmlosen Namen: „YellowKey”, offiziell CVE-2026-45585. Ein Sicherheitsforscher unter dem Pseudonym Chaotic Eclipse (alias Nightmare-Eclipse) veröffentlichte am 12. Mai 2026 einen funktionierenden Proof-of-Concept, der die BitLocker-Laufwerksverschlüsselung auf Windows 11 sowie Windows Server 2022 und 2025 aushebelt. Benötigt werden lediglich physischer Zugriff auf das Gerät und ein USB-Stick – kein Wiederherstellungsschlüssel, kein Passwort, keine teure Spezialhardware.

Status: Der PoC ist öffentlich. Microsoft hat am 20. Mai 2026 Mitigationshinweise veröffentlicht und die Lücke als CVE-2026-45585 (CVSS 6.8) geführt. Die Einstufung lautet „Exploitation More Likely”. Betroffen sind Windows 11 (24H2, 25H2, 26H1) sowie Windows Server 2025 inklusive Server Core und Windows Server 2022. Windows 10 ist nicht betroffen.

Wie der Angriff funktioniert

Der Ablauf ist erschreckend simpel und kommt ohne Eingabe eines Schlüssels aus:

  1. Speziell präparierte Dateien in einem Ordner namens FsTx werden auf einen USB-Stick oder direkt in die EFI-Partition kopiert.
  2. Das BitLocker-geschützte Gerät wird in die Windows-Wiederherstellungsumgebung (WinRE) gebootet.
  3. Durch Halten der STRG-Taste während des Vorgangs wird eine Shell mit uneingeschränktem Zugriff auf das verschlüsselte Volume gestartet.

Technisch missbraucht der Angriff einen Code-Pfad in WinRE, der NTFS-Log-Daten aus dem FsTx-Ordner abspielt (Transactional NTFS). Der PoC funktioniert gegen BitLocker im TPM-only-Modus – also der Standardkonfiguration auf den meisten Geräten.

Wichtig zur Einordnung: Die Verschlüsselung selbst ist nicht gebrochen. Die Schwachstelle liegt in der Wiederherstellungsumgebung rund um BitLocker, nicht in der Kryptografie, die das Laufwerk schützt. Der Forscher hat öffentlich die Vermutung geäußert, es handle sich um eine bewusst eingebaute Hintertür – diese Einschätzung ist bislang unbestätigt und sollte als These, nicht als Tatsache verstanden werden.

Die entscheidende Einschränkung: physischer Zugriff

YellowKey lässt sich nicht aus der Ferne und nicht im großen Stil ausnutzen. Ein Angreifer muss das Gerät physisch in den Händen halten. Das verändert die Risikobewertung grundlegend – und verschiebt den Fokus klar auf mobile Geräte, Außendienst-Notebooks, unbeaufsichtigte Arbeitsplätze und gestohlene oder verlorene Hardware. Genau dort, wo BitLocker bisher das beruhigende Sicherheitsnetz war.

Was Sie jetzt tun sollten

1. TPM+PIN aktivieren

Die wirksamste Maßnahme: BitLocker so konfigurieren, dass beim Start eine PIN abgefragt wird. Ohne PIN kommt der Angreifer nicht in die verwertbare Pre-Boot-Phase. Per Gruppenrichtlinie unter Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → BitLocker-Laufwerkverschlüsselung → Betriebssystemlaufwerke die Option „Zusätzliche Authentifizierung beim Start anfordern” aktivieren und „TPM-PIN anfordern” setzen.

2. WinRE-Mitigation einspielen

Microsoft empfiehlt, den Eintrag autofstx.exe aus dem BootExecute-Registry-Wert des WinRE-Images zu entfernen. Das unterbindet den vom Exploit genutzten Transactional-NTFS-Replay-Mechanismus. Die detaillierten Schritte stehen im Microsoft Security Response Center Advisory zu CVE-2026-45585. Der reguläre Juni-Patchday liefert zusätzlich den eigentlichen Fix.

3. Physische Sicherheit nicht unterschätzen

Boot-Reihenfolge im UEFI absichern (kein Boot von Wechselmedien), UEFI-Passwort setzen, Secure Boot aktiv halten und klare Prozesse für verlorene/gestohlene Geräte etablieren. YellowKey ist die deutliche Erinnerung daran, dass Verschlüsselung kein Ersatz für physische Zugriffskontrolle ist.

Nicht vergessen: YellowKey ist nur eine von gleich drei BitLocker-Bypass-Lücken des Juni-Patchdays. Die verwandte CVE-2026-50507 („Bitskrieg”) steht bereits im CISA-KEV-Katalog. Behandeln Sie das Thema als Komplex, nicht als Einzelfall.

Compliance-Perspektive: NIS2 und BSI IT-Grundschutz

Datenträgerverschlüsselung ist ein Kernbaustein vieler Sicherheitsstandards. Wer BitLocker als technische Maßnahme zur Erfüllung von NIS2-Pflichten oder BSI-IT-Grundschutz-Bausteinen (etwa SYS.2.1, SYS.3.x) ansetzt, sollte die TPM-only-Annahme jetzt überprüfen. Im Audit-Kontext zählt nicht „BitLocker ist aktiv”, sondern „BitLocker ist gegen bekannte Pre-Boot-Angriffe gehärtet”. TPM+PIN auf mobilen Geräten ist damit nicht mehr Kür, sondern dokumentationspflichtige Maßnahme.

Fazit

YellowKey ist kein kryptografischer Bruch, aber ein eindrucksvoller Beweis, dass die Umgebung um eine Sicherheitsfunktion herum genauso wichtig ist wie die Funktion selbst. Für Umgebungen mit vielen mobilen Geräten gilt: WinRE-Mitigation einspielen, TPM+PIN ausrollen, physische Boot-Sicherheit härten – und die Annahme „BitLocker reicht” kritisch hinterfragen.

BitLocker- und Verschlüsselungsstatus im Audit nachweisen?

Im Rahmen von NIS2- und IT-Grundschutz-Audits unterstütze ich Sie bei der Bewertung Ihrer Verschlüsselungs- und Härtungsmaßnahmen. Mehr zu Tools und Beratung auf isw-adtools.de.

© 2026 IT-Service Walter · der-windows-papst.de · Alle Angaben ohne Gewähr. Quellen: Microsoft MSRC, Tenable, The Hacker News, ThreatLocker, SOC Prime.