Auf den Punkt: Microsoft hat Sicherheitsmaßnahmen gegen die YellowKey-Sicherheitslücke (CVE-2026-45585) veröffentlicht, die BitLocker-geschützte Festplatten gefährdet. Empfohlene Lösungen sind die Deaktivierung von autofstx.exe und die Umstellung auf TPM+PIN-Verschlüsselung.
Microsoft hat Schutzmaßnahmen gegen YellowKey, eine kürzlich offengelegte Windows BitLocker-Sicherheitslücke, veröffentlicht. Die Schwachstelle ermöglicht unbefugten Zugriff auf geschützte Festplatten und wurde von einem anonymen Sicherheitsforscher namens "Nightmare Eclipse" offenbart.
Der Sicherheitsforscher “Nightmare Eclipse” hatte die Sicherheitslücke letzte Woche zusammen mit einem Proof-of-Concept-Exploit veröffentlicht. Die Ausnutzung von YellowKey erfolgt durch das Platzieren speziell konstruierter “FsTx”-Dateien auf einem USB-Laufwerk oder einer EFI-Partition, dem Neustart in WinRE und dem Auslösen einer Shell mit uneingeschränktem Zugriff auf das BitLocker-geschützte Speichervolumen durch Drücken der CTRL-Taste.
Der Forscher hatte zuvor auch die Zero-Day-Schwachstellen BlueHammer (CVE-2026-33825) und RedSun offengelegt, die bereits von Angreifern ausgenutzt werden. Weitere geleakte Sicherheitslücken sind GreenPlasma, eine Privilege-Escalation-Sicherheitslücke, und UnDefend, das es Angreifern mit Standardbenutzerrechten ermöglicht, Microsoft Defender-Definitionsupdates zu blockieren.
Microsoft verfolgt YellowKey nun unter CVE-2026-45585 und hat Lösungsmaßnahmen empfohlen. Um Angriffe zu verhindern, sollten Nutzer den autofstx.exe-Eintrag aus dem Session Manager’s BootExecute-Registrierungswert entfernen und BitLocker-Vertrauen für WinRE wiederherstellen. Alternativ wird empfohlen, BitLocker auf bereits verschlüsselten Geräten von “nur TPM” auf “TPM+PIN” umzuschalten, wodurch eine PIN-Eingabe beim Hochfahren erforderlich wird.