Notebookcheck Logo

Microsoft reagiert auf YellowKey BitLocker-Umgehung: Patch noch ausstehend

Eine vermummte Gestalt führt an einem Multi-Screen-Setup einen Cyberangriff durch
ⓘ Magnific.com/author/dcstudio
Eine vermummte Gestalt führt an einem Multi-Screen-Setup einen Cyberangriff durch
Microsoft hat Maßnahmen zur Abwehr von YellowKey (CVE-2026-45585) veröffentlicht, einer Sicherheitslücke, die es Angreifern mit physischem Zugriff ermöglicht, verschlüsselte Windows-Laufwerke zu umgehen.
Windows Software Security Microsoft Laptop / Notebook Desktop

Als Reaktion auf die Sicherheitslücke „YellowKey“ hat Microsoft Leitlinien zur Abwehr veröffentlicht. Die Schwachstelle, ein öffentlich bekannt gewordener BitLocker-Bypass unter der Kennung CVE-2026-45585, wurde nach der Veröffentlichung eines funktionierenden Proof-of-Concepts ohne koordinierte Offenlegung bekannt. Ein vollständiges Sicherheitsupdate ist noch nicht verfügbar. Das Unternehmen bestätigte, dass es an einer dauerhaften Lösung arbeitet, und fordert Administratoren aller betroffenen Windows-Versionen dringend auf, die vorläufigen Maßnahmen unverzüglich umzusetzen.

Was die Patches bewirkt

Der Exploit funktioniert durch das Löschen der Datei „winpeshl.ini“ über Transactional NTFS (TxF), wodurch die WinRE-Wiederherstellungsumgebung statt der Standardoberfläche eine ungeschützte Shell startet. Dadurch erhält ein Angreifer mit physischem Zugriff vollständigen, unverschlüsselten Zugriff auf den Inhalt des Laufwerks – ohne Anmeldedaten, Softwareinstallation oder Netzwerkverbindung.

Der von Microsoft bereitgestellte Patch deaktiviert dabei autofstx.exe, das FsTx Auto Recovery Utility, innerhalb des WinRE-Images. Administratoren müssen das WinRE-Image auf jedem betroffenen Gerät mounten, den Systemregistrierungs-Hive laden und den Eintrag autofstx.exe aus dem BootExecute-Wert des Session Managers entfernen. Zusätzlich empfiehlt Microsoft, Geräte mit hohem Risiko vom reinen TPM-BitLocker-Modus auf TPM+PIN umzustellen, da dies eine physische Ausnutzung deutlich erschwert.

Dies ist eine Umgehungslösung, kein vollständiger Patch. Microsoft hat bislang nicht bestätigt, wann ein endgültiges Update erscheinen wird. Bis dahin gilt jedes System mit betroffener Windows-Version, USB-Zugriff und möglichem Neustart in den Wiederherstellungsmodus als potenzielles Ziel für öffentlich verfügbare Exploit-Codebasis.

Betroffene Systeme und was Administratoren jetzt tun sollten

CVE-2026-45585 erreicht einen CVSS-Score von 6,8 und setzt physischen Zugriff voraus, wird von Microsoft jedoch als „wahrscheinlich ausnutzbar“ eingestuft, da der Proof-of-Concept öffentlich ist. Die Warnung betrifft Windows 11 24H2, 25H2 und 26H1 auf x64-Systemen sowie Windows Server 2025 und Windows Server 2025 Server Core. Windows 10 ist aufgrund abweichender WinRE-Konfigurationen nicht betroffen. Öffentliche Analysen weisen jedoch darauf hin, dass Windows Server 2022 unter bestimmten Bedingungen ebenfalls anfällig sein könnte, was Microsoft bislang nicht offiziell bestätigt hat.

Der Forscher hinter dem Exploit, bekannt als Nightmare-Eclipse, veröffentlichte diesen, bevor Microsoft eigene Leitlinien bereitstellen konnte. Microsoft bezeichnete das Vorgehen als Verstoß gegen bewährte Praktiken der koordinierten Schwachstellenmeldung.

Google LogoAls bevorzugte Quelle auf Google hinzufügen
Mail Logo
static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten

Verwandte Artikel

Weitere Artikel anzeigen
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2026-05 > Microsoft reagiert auf YellowKey BitLocker-Umgehung: Patch noch ausstehend
Autor: Darryl Linington, 21.05.2026 (Update: 21.05.2026)