Zum Inhalt springen

Microsoft veröffentlicht Abhilfe für YellowKey-BitLocker-Bypass CVE-2026-45585

Auf den Punkt: Microsoft hat eine Sicherheitslücke (CVE-2026-45585) behoben, die es Angreifern mit physischem Zugriff ermöglichte, BitLocker-Verschlüsselung zu umgehen. Durch die Entfernung der "autofstx.exe"-Datei und den Wechsel zu TPM+PIN-Authentifizierung lässt sich das Risiko minimieren.

Microsoft hat am Dienstag eine Sicherheitsmitteilung zur Behebung einer BitLocker-Bypass-Sicherheitslücke namens YellowKey veröffentlicht, die ein Sicherheitsforschername Chaotic Eclipse öffentlich gemacht hat. Die Zero-Day-Schwachstelle mit der Bezeichnung CVE-2026-45585 hat einen CVSS-Score von 6,8 und ermöglicht Angreifern mit physischem Zugriff, die Verschlüsselung zu umgehen.

Die Sicherheitslücke betrifft mehrere Windows-Versionen, darunter Windows 11 Version 26H1, 24H2 und 25H2 für x64-Systeme sowie Windows Server 2025. Der YellowKey-Exploit nutzt speziell präparierte ‘FsTx’-Dateien auf einem USB-Laufwerk oder einer EFI-Partition. Ein Angreifer mit physischem Zugriff kann das USB-Laufwerk an einen mit BitLocker geschützten Computer anschließen, in die Windows Recovery Environment (WinRE) booten und durch Halten der CTRL-Taste eine Shell mit uneingeschränktem Zugriff auf das BitLocker-geschützte Volumen auslösen.

Microsoft hat mehrere Abhilfemaßnahmen empfohlen: Das WinRE-Image muss auf jedem Gerät bereitgestellt werden, die Systemregistrierungs-Hive des bereitgestellten WinRE-Images muss bearbeitet und die Datei “autofstx.exe” aus dem BootExecute-Wert entfernt werden. Dies verhindert, dass das FsTx Auto Recovery Utility automatisch startet. Alternativ können Administratoren BitLocker-Geräte von “TPM-only” auf “TPM+PIN”-Modus umschalten, was erfordert, dass beim Herunterfahren eine PIN eingegeben wird. Auf Geräten ohne Verschlüsselung wird empfohlen, “Zusätzliche Authentifizierung beim Starten erforderlich” über Microsoft Intune oder Group Policies zu aktivieren und sicherzustellen, dass “Konfigurieren der TPM-Startup-PIN” auf “Startup-PIN mit TPM erforderlich” eingestellt ist.

Share on: