Microsoft veröffentlicht Abhilfemaßnahmen für Windows BitLocker Zero-Day 'YellowKey'
**Microsoft** hat Abhilfemaßnahmen für 'YellowKey' (**CVE-2026-45585**) veröffentlicht, eine kürzlich bekannt gewordene Zero-Day-Schwachstelle in Windows BitLocker, die unbefugten Zugriff auf geschützte Laufwerke ermöglichen könnte. Die Schwachstelle, die von einem anonymen Forscher namens 'Nightmare Eclipse' enthüllt wurde, beinhaltet die Manipulation von 'FsTx'-Dateien, um die BitLocker-Verschlüsselung zu umgehen.
## YellowKey: Ein BitLocker-Bypass
Die von 'Nightmare Eclipse' offengelegte Schwachstelle 'YellowKey' ermöglicht es Angreifern, unbefugten Zugriff auf **BitLocker**-geschützte Laufwerke zu erlangen. Der Forscher veröffentlichte einen Proof-of-Concept (PoC) **exploit**, der demonstriert, wie speziell präparierte 'FsTx'-Dateien, die auf einem USB-Laufwerk oder einer EFI-Partition platziert werden, verwendet werden können, um eine **shell** mit uneingeschränktem Zugriff auf das Speichervolumen auszulösen.
'Nightmare Eclipse' hat aktiv Zero-Day-Schwachstellen offengelegt, darunter **BlueHammer** (CVE-2026-33825) und **RedSun**, und begründet dies mit Unzufriedenheit über den Umgang des **Microsoft** Security Response Center (**MSRC**) mit früheren Schwachstellenoffenlegungen. Zu den weiteren offengelegten Schwachstellen gehören **GreenPlasma** und **UnDefend**.
## Microsofts Reaktion: Abhilfemaßnahmen für CVE-2026-45585
**Microsoft** verfolgt den 'YellowKey'-Fehler nun unter **CVE-2026-45585** und hat Abhilfemaßnahmen veröffentlicht, um vor einer möglichen Ausnutzung zu schützen.
"Microsoft ist sich einer Schwachstelle zur Umgehung von Sicherheitsfunktionen in Windows bewusst, die öffentlich als 'YellowKey' bezeichnet wird. Der Proof of Concept für diese Schwachstelle wurde öffentlich gemacht, was gegen bewährte Praktiken bei der koordinierten Offenlegung von Schwachstellen verstößt", teilte **Microsoft** in einem Advisory mit.
Die empfohlenen Abhilfemaßnahmen umfassen:
* Entfernen des Eintrags `autofstx.exe` aus dem `BootExecute` REG_MULTI_SZ-Wert des Session Managers.
* Wiederherstellen des BitLocker-Vertrauens für WinRE, wie im Advisory zu CVE-2026-33825 beschrieben.
* Konfigurieren von BitLocker auf bereits verschlüsselten Geräten vom Modus "Nur TPM" in den Modus "TPM+PIN".
* Aktivieren der Option "Zusätzliche Authentifizierung beim Start erforderlich" über **Microsoft Intune** oder Gruppenrichtlinien für noch nicht verschlüsselte Geräte, wobei sichergestellt wird, dass "TPM-Start-PIN konfigurieren" auf "Start-PIN mit TPM erforderlich" gesetzt ist.
Laut Will Dormann, Principal Vulnerability Analyst bei **Tharros**, verhindert das automatische Starten von `autofstx.exe` beim Starten des WinRE-Images das Replay von Transactional NTFS, das `winpeshl.ini` löscht.
## Die Validierungslücke: Automatisiertes Pentesting beantwortet eine Frage. Sie brauchen sechs.
Automatisierte Pentesting-Tools liefern echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln auslösen oder Ihre Cloud-Konfigurationen standhalten.
Diese Anleitung behandelt die 6 Oberflächen, die Sie tatsächlich validieren müssen.
[Jetzt herunterladen](https://hubs.li/Q048zztN0)