YellowKey (CVE‑2026‑45585): Wie der BitLocker‑Bypass über WinRE funktioniert

Wichtig: Der Angriff funktioniert nicht aus der Ferne. Der Angreifer muss direkten Zugriff auf das Gerät haben und den Boot‑ oder Wiederherstellungsprozess manipulieren können.

Wie der Angriff technisch funktioniert

Der veröffentlichte Proof‑of‑Concept nutzt die Windows Recovery Environment (WinRE) – eine integrierte Umgebung, die normalerweise zur Reparatur von Windows‑Installationen eingesetzt wird.

Vereinfacht läuft der Angriff in mehreren Schritten ab:

• Ein Angreifer erstellt ein USB‑Medium oder verändert eine EFI‑Partition mit speziell präparierten FsTx‑Dateien (Transactional NTFS).
• Das Zielsystem wird anschließend in die Windows Recovery Environment gebootet.
• Während WinRE die manipulierten Transaktionsdateien verarbeitet, wird ein Fehlerzustand ausgelöst.
• Dadurch kann eine Shell mit Zugriff auf das Speicherlaufwerk gestartet werden.

Durch die Art, wie WinRE den Dateisystemzustand während der Wiederherstellung behandelt, kann das BitLocker‑geschützte Volume in diesem Kontext zugänglich werden, obwohl es eigentlich verschlüsselt sein sollte.

Warum physischer Zugriff ein realistisches Risiko ist

Auch wenn der Angriff physischen Zugriff erfordert, ist das in der Praxis keineswegs selten. Typische Szenarien sind:

• gestohlene oder verlorene Firmen‑Laptops
• Geräte, die während Reisen oder Kontrollen kurzzeitig beschlagnahmt werden
• unbeaufsichtigte Arbeitsplatzrechner
• Systeme in Filialen, Kiosks oder öffentlich zugänglichen Bereichen

Besonders anfällig können Geräte sein, die BitLocker nur mit TPM‑basierter automatischer Entsperrung verwenden. In dieser Konfiguration kann das Laufwerk beim Booten ohne zusätzliche Benutzerinteraktion entschlüsselt werden.

Empfohlene Gegenmaßnahmen von Microsoft

Zum Zeitpunkt der Veröffentlichung existierte noch kein offizieller Sicherheits‑Patch. Microsoft hat jedoch mehrere temporäre Maßnahmen empfohlen, um das Risiko zu reduzieren.

BootExecute‑Eintrag „autofstx.exe“ entfernen

Administratoren sollen den Eintrag autofstx.exe aus dem BootExecute‑Registrywert im WinRE‑Image entfernen. Dadurch wird der Mechanismus deaktiviert, mit dem NTFS‑Transaktionen während der Wiederherstellung erneut ausgeführt werden – genau dieser Prozess wird vom Exploit ausgenutzt.

BitLocker mit TPM + PIN konfigurieren

Microsoft empfiehlt außerdem, TPM + PIN zu aktivieren. Dabei muss beim Start ein zusätzlicher PIN eingegeben werden, bevor das Laufwerk entschlüsselt wird. Das erschwert physische Angriffe erheblich.

Boot‑ und Firmware‑Sicherheit stärken

Weitere Schutzmaßnahmen im Sinne von „Defense in Depth“ sind unter anderem:

• externes Booten über USB oder andere Medien einschränken
• UEFI/BIOS mit starken Administrator‑Passwörtern schützen
• Secure Boot aktiviert lassen
• Änderungen an Boot‑Konfiguration oder WinRE überwachen

Diese Kontrollen sollen verhindern, dass Angreifer überhaupt Zugriff auf die Recovery‑Umgebung erhalten.

Wer die Schwachstelle entdeckt hat

Die Sicherheitslücke wurde von einem Forscher unter den Aliasnamen Chaotic Eclipse bzw. Nightmare‑Eclipse veröffentlicht. Er stellte auch Proof‑of‑Concept‑Code bereit, der den Angriff demonstriert.

YellowKey gehört zu einer Reihe von öffentlich gemeldeten Windows‑Schwachstellen desselben Forschers, darunter weitere Zero‑Day‑Berichte zu Microsoft‑Komponenten.

Sobald Proof‑of‑Concept‑Code öffentlich verfügbar ist, sinkt normalerweise die technische Hürde für Angreifer – insbesondere solange noch kein offizieller Patch existiert.

Woran Sicherheitsteams mögliche Angriffe erkennen können

Bis ein Sicherheitsupdate veröffentlicht wird, sollten Unternehmen ihre Systeme besonders auf Hinweise für Manipulationen am Boot‑Prozess überwachen. Dazu zählen unter anderem:

• unerwartete Starts in die Windows Recovery Environment
• Änderungen an WinRE‑Images oder BootExecute‑Einträgen
• modifizierte Bootreihenfolge oder EFI‑Partitionen
• deaktiviertes oder verändertes Secure Boot
• ungewöhnliche BitLocker‑ oder TPM‑Konfigurationsänderungen

Solche Ereignisse können darauf hinweisen, dass jemand versucht hat, den Wiederherstellungs‑ oder Boot‑Prozess zu manipulieren.

Die größere Lehre für Festplattenverschlüsselung

Der Fall YellowKey zeigt ein grundlegendes Prinzip der IT‑Sicherheit: Festplattenverschlüsselung allein schützt Daten nicht vollständig, wenn Angreifer den Boot‑ oder Wiederherstellungsprozess kontrollieren können.

Komponenten wie Bootloader, Firmware und Recovery‑Umgebungen gehören zur gleichen Vertrauenskette wie die Verschlüsselung selbst. Schwächen in einem dieser Bereiche können den gesamten Schutz unterlaufen.

Für Unternehmen bedeutet das: BitLocker sollte immer zusammen mit Pre‑Boot‑Authentifizierung, Firmware‑Sicherheitsmechanismen und strikten Boot‑Kontrollen eingesetzt werden – besonders solange noch kein endgültiger Patch für CVE‑2026‑45585 verfügbar ist.