Microsoft startet Abwehr des "YellowKey"-Windows-Zero-Day-Angriffs
Neue Zero-Day-Lücke in Windows: Die BitLocker-Schwachstelle "YellowKey" ermöglicht Zugriff auf eigentlich geschützte Laufwerke - wir berichteten bereits. Microsoft liefert jetzt erste Gegenmaßnahmen, ein Patch fehlt allerdings noch.
Entdeckt wurde die Lücke von einem Sicherheitsforscher mit dem Pseudonym "Nightmare Eclipse". Dieser hatte bereits in den vergangenen Wochen mehrere bislang unbekannte Schwachstellen öffentlich gemacht und teilweise funktionsfähige Angriffscodes veröffentlicht. Auch im Fall von YellowKey existiert ein sogenannter Proof of Concept, der die Ausnutzung demonstriert.
Microsoft führt die Schwachstelle inzwischen unter der Kennung CVE-2026-45585 und bestätigt, dass es sich um eine Umgehung von Sicherheitsfunktionen handelt. Ein reguläres Sicherheitsupdate steht noch aus. Bis dahin empfiehlt das Unternehmen mehrere Gegenmaßnahmen.
Für noch nicht verschlüsselte Geräte können Administratoren entsprechende Richtlinien zentral vorgeben, etwa über Gruppenrichtlinien oder Microsoft Intune. Dabei sollte die zusätzliche Authentifizierung beim Start verpflichtend aktiviert werden.
Wie bewertet ihr die Gefahr durch solche BitLocker-Lücken - eher theoretisch oder ein echtes Risiko im Alltag?
Siehe auch:
Und wieder die Festplattenverschlüsselung BitLocker
Microsoft hat auf die Windows-Sicherheitslücke reagiert und erste Schutzmaßnahmen veröffentlicht. Die Schwachstelle mit dem Namen "YellowKey" betrifft die Festplattenverschlüsselung BitLocker und kann Angreifern Zugriff auf eigentlich geschützte Laufwerke ermöglichen.Entdeckt wurde die Lücke von einem Sicherheitsforscher mit dem Pseudonym "Nightmare Eclipse". Dieser hatte bereits in den vergangenen Wochen mehrere bislang unbekannte Schwachstellen öffentlich gemacht und teilweise funktionsfähige Angriffscodes veröffentlicht. Auch im Fall von YellowKey existiert ein sogenannter Proof of Concept, der die Ausnutzung demonstriert.
Angreifer kann weitreichende Zugriffsrechte erlangen
Nach Angaben des Forschers lässt sich die Lücke über speziell präparierte Dateien ausnutzen, die etwa auf einem USB-Stick oder in einer EFI-Partition abgelegt werden. Beim Start in die Windows-Wiederherstellungsumgebung (WinRE) kann so eine Systemkonsole mit weitreichenden Zugriffsrechten geöffnet werden und das selbst auf BitLocker-geschützten Datenträgern.Microsoft führt die Schwachstelle inzwischen unter der Kennung CVE-2026-45585 und bestätigt, dass es sich um eine Umgehung von Sicherheitsfunktionen handelt. Ein reguläres Sicherheitsupdate steht noch aus. Bis dahin empfiehlt das Unternehmen mehrere Gegenmaßnahmen.
Windows-Startkonfiguration sollte geändert werden
Im Fokus steht dabei eine Änderung in der Windows-Startkonfiguration: Der automatische Start eines Systemtools (autofstx.exe) soll deaktiviert werden, um den Angriffspfad zu unterbinden. Zudem rät Microsoft dazu, die Vertrauenskette von BitLocker in der Wiederherstellungsumgebung neu zu konfigurieren.Ein erfolgreicher Angreifer könnte die BitLocker-Geräteverschlüsselung auf dem Speichergerät des Systems umgehen. Ein Angreifer mit physischem Zugriff auf das Zielsystem könnte diese Sicherheitslücke ausnutzen, um Zugriff auf verschlüsselte Daten zu erlangen.Darüber hinaus empfiehlt der Konzern, BitLocker nicht mehr ausschließlich im TPM-Modus zu betreiben. Stattdessen soll zusätzlich eine PIN beim Systemstart erforderlich sein. Diese Kombination erhöht die Sicherheit deutlich, da ein physischer Zugriff allein dann nicht mehr ausreicht.
Für noch nicht verschlüsselte Geräte können Administratoren entsprechende Richtlinien zentral vorgeben, etwa über Gruppenrichtlinien oder Microsoft Intune. Dabei sollte die zusätzliche Authentifizierung beim Start verpflichtend aktiviert werden.
Wie bewertet ihr die Gefahr durch solche BitLocker-Lücken - eher theoretisch oder ein echtes Risiko im Alltag?
Zusammenfassung
- Microsoft reagiert auf YellowKey genannte Zero-Day-Lücke in Windows
- Lücke wird unter CVE-2026-45585 geführt und ermöglicht Laufwerkszugriff
- Angreifer nutzen präparierte Dateien beim Start in WinRE aus
- PIN beim Systemstart zusätzlich zum TPM schützt vor physischem Zugriff
- Gruppenrichtlinien oder Intune ermöglichen zentrale Verwaltung der Verschlüsselung
- Microsoft empfiehlt Deaktivierung von autofsstx.exe und Neuvergabe der BitLocker-Vertrauenskette
Siehe auch:
Themen:
Videos zum Thema Microsoft
-
So gelingt die Windows-11-Installation ohne Microsoft-Account
-
Fable: Microsoft enthüllt im Trailer endlich den Releasetermin
-
Gears of War: E-Day - Microsoft zeigt Gameplay und verrät den Termin
-
Acer Chromebook Plus Spin 514 entwickelt sich zum Windows-Killer
-
Fable: Microsoft enthüllt Gameplay und viele neue Details zum Spiel
Weiterführende Links
Neue Nachrichten
- EU-Kommission lässt Initiative zum Schutz älterer Videospiele abblitzen
- Wallpaper Engine: Hintergründe gefährden Steam-Gamer durch Malware
- iPhone Air 2: Apple behebt die zwei größten Mankos des Vorgängers
- 24 Mrd. Datensätze offen im Netz: Riesiges Passwort-Archiv entdeckt
- Top-Tarif im O2-Netz: Jetzt 25 GB 5G dauerhaft für nur 4,99 Euro
- Microsoft Edge erlaubt bald den Login mit einem Google-Konto
- Tim Cook warnt: Preise für Apple-Produkte werden bald deutlich steigen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon