Ein anonymer Cybersicherheitsforscher, online bekannt als Chaotic Eclipse und Nightmare-Eclipse, hat zwei neue Zero-Day-Schwachstellen enthüllt, nachdem er zuvor bereits drei Schwachstellen in **Microsoft Defender** offengelegt hatte. Die neuen Schwachstellen, **YellowKey** und **GreenPlasma** genannt, stellen erhebliche Risiken für **Windows**-Systeme dar. ### YellowKey: BitLocker-Bypass **YellowKey**, vom Forscher als "eine der verrücktesten Entdeckungen, die ich je gemacht habe" beschrieben, ist eine **BitLocker**-Bypass-Schwachstelle, die **Windows 11** und **Windows Server 2022/2025** betrifft. Diese Schwachstelle liegt in der **Windows Recovery Environment (WinRE)**. Der Angriff beinhaltet das Kopieren präparierter "FsTx"-Dateien auf einen USB-Stick oder die EFI-Partition. Das Booten des Ziel-**Windows**-Computers (mit aktiviertem **BitLocker**) in **WinRE** und das Auslösen einer Shell (durch Halten von STRG) ermöglichen den Bypass. Der Forscher bemerkte: "Ich glaube, es wird eine Weile dauern, bis selbst **MSRC** die eigentliche Ursache des Problems findet... Zweitens, nein, TPM+PIN hilft nicht, das Problem ist trotzdem ausnutzbar." Der Sicherheitsforscher Will Dormann bestätigte den **exploit** und erklärte: "Ich konnte [YellowKey] mit einem angeschlossenen USB-Stick reproduzieren... es scheint, dass Transactional NTFS-Bits auf einem USB-Stick die winpeshl.ini-Datei auf EINEM ANDEREN LAUFWERK (X:) löschen können. Und wir erhalten eine cmd.exe-Eingabeaufforderung, mit entsperrtem **BitLocker** anstelle der erwarteten **Windows Recovery**-Umgebung." Dormann hob weiter hervor, dass die Fähigkeit eines `\System Volume Information\FsTx`-Verzeichnisses auf einem Volume, den Inhalt eines anderen Volumes zu modifizieren, an sich bereits eine Schwachstelle darstellt. ### GreenPlasma: Rechteausweitung Die zweite Schwachstelle, **GreenPlasma**, ist eine Rechteausweitung, die zum Erhalt einer Shell mit SYSTEM-Berechtigungen führen kann. Sie resultiert aus der Erstellung beliebiger Sektionen in **Windows CTFMON**. Der veröffentlichte Proof-of-Concept (PoC) ist unvollständig. Er demonstriert jedoch, dass ein nicht privilegierter Benutzer beliebige Speichersektionsobjekte innerhalb von Verzeichnissubsystemen erstellen kann, die von SYSTEM beschreibbar sind. Dies könnte die Manipulation privilegierter Dienste oder Treiber ermöglichen, die diesen Pfaden vertrauen. ### Hintergrund: Frühere Offenlegungen und Reaktion von Microsoft Diese Offenlegungen folgen der früheren Veröffentlichung von drei **Microsoft Defender** Zero-Days (**BlueHammer**, **RedSun** und **UnDefend**) durch den Forscher, angeblich aufgrund von Unzufriedenheit mit dem Schwachstellenmanagement von **Microsoft**. **BlueHammer** wurde mit **CVE-2026-33825** identifiziert und gepatcht, aber der Forscher behauptet, **RedSun** sei "stumm" ohne Advisory behoben worden. Der Forscher warnte vor einer "großen Überraschung" für **Microsoft**, die mit dem nächsten Patch Tuesday im Juni 2026 zusammenfällt. Ein **Microsoft**-Sprecher erklärte zuvor, dass das Unternehmen sich verpflichtet fühlt, gemeldete Sicherheitsprobleme zu untersuchen und eine koordinierte Offenlegung von Schwachstellen unterstützt. ### BitLocker Downgrade-Angriff In verwandten Nachrichten hat **Intrinsec**, ein französisches Cybersicherheitsunternehmen, eine **BitLocker**-Angriffskette detailliert beschrieben, die ein Boot-Manager-Downgrade nutzt, indem sie **CVE-2025-48804** ausnutzt, um die Verschlüsselung auf vollständig gepatchten **Windows 11**-Systemen in weniger als fünf Minuten zu umgehen. Der Angriff beinhaltet das Laden einer anfälligen Boot-Manager-Version (`bootmgfw.efi`), die mit dem vertrauenswürdigen PCA 2011-Zertifikat signiert ist, um **BitLocker**-Schutzmaßnahmen zu umgehen. Dies ermöglicht das Booten von einem zweiten WIM-Image, das ein mit `cmd.exe` infiziertes WinRE-Image enthält. Obwohl **Microsoft** im Juli 2025 Korrekturen veröffentlichte, besteht das Problem fort, da Secure Boot nur das Signaturzertifikat einer Binärdatei prüft, nicht aber deren Version. **Microsoft** plant, die alten PCA 2011-Zertifikate nächsten Monat einzustellen. Bis zur Sperrung können selbst alte, anfällige Boot-Manager geladen werden, ohne Warnungen auszulösen. Um diese Risiken zu mindern, ist die Aktivierung eines **BitLocker-PINs** beim Start zur Preboot-Authentifizierung und die Migration des Boot-Managers zum CA 2023-Zertifikat bei gleichzeitiger Sperrung des alten PCA 2011-Zertifikats entscheidend.