Wer Zugriff auf einen Windows-Rechner mit aktiver BitLocker-Verschlüsselung bekommt, sollte eigentlich vor vollendeten Tatsachen stehen: verschlüsselte Daten, kein Durchkommen. Dass das in der Praxis nicht immer gilt, zeigt die Schwachstelle CVE-2026-45585, die unter dem Namen "YellowKey" bekannt geworden ist. Microsoft hat dazu vergangene Woche ein Advisory mit einem temporären Workaround veröffentlicht – ein vollständiger Sicherheitspatch fehlt bislang.

Zugang per CTRL-Taste

Der Angriff selbst setzt ausschließlich physischen Zugriff voraus und ist technisch erschreckend überschaubar. Ein Angreifer präpariert einen USB-Stick oder eine EFI-Partition mit speziell gestalteten "FsTx"-Dateien, steckt das Medium in das Zielgerät und startet die Windows Recovery Environment (WinRE) neu. Dort genügt das Gedrückthalten der CTRL-Taste, um eine Shell mit uneingeschränktem Zugriff auf das vermeintlich verschlüsselte Laufwerk zu öffnen.

Die Wurzel des Problems liegt im automatischen Start von "autofstx.exe" – dem FsTx Auto Recovery Utility – beim WinRE-Start: Das Tool löst ein transaktionales NTFS-Replaying aus, das die Datei winpeshl.ini löscht und so die Tür für den Angriff aufstößt. Klassifiziert ist die Lücke als Command-Injection-Schwachstelle (CWE-77) mit einem CVSS-Score von 6.8.

Ausnutzung wahrscheinlich

Entdeckt hat sie der Sicherheitsforscher Chaotic Eclipse, auch als Nightmare-Eclipse bekannt, der den Proof-of-Concept anschließend öffentlich auf GitHub veröffentlichte – noch bevor Microsoft einen Patch bereitgestellt hatte. Genau das kritisiert Redmond in seinem Advisory: Die Veröffentlichung verstoße gegen die Grundsätze der koordinierten Schwachstellenoffenlegung.

Gleichzeitig stuft Microsoft die Ausnutzung als "wahrscheinlicher" ein, was den Druck auf Administratoren erhöht, schnell zu handeln. Betroffen sind Windows 11 in den Versionen 26H1, 24H2 und 25H2 für x64-Systeme sowie Windows Server 2025 - einschließlich der Server-Core-Installation.

Schutzmaßnahmen für Admins

Der von Microsoft beschriebene Workaround greift direkt am Einfallstor an: Administratoren mounten auf jedem betroffenen Gerät das WinRE-Image manuell, laden anschließend den zugehörigen Registry-Hive unter "HKLM\WinREHive" und entfernen den Eintrag "autofstx.exe" aus dem BootExecute-Wert des Session Managers – konkret unter dem Pfad "HKLM\WinREHive\ControlSet001\Control\Session Manager".

Nach dem Speichern und Aushängen des Hives wird das WinRE-Image neu eingebunden und die BitLocker-Vertrauensstellung für WinRE wiederhergestellt. Das Ergebnis: autofstx.exe startet beim nächsten WinRE-Boot nicht mehr automatisch, das NTFS-Replaying bleibt aus und der Angriff läuft ins Leere. Ergänzend empfiehlt Microsoft den Wechsel von der reinen TPM-Absicherung auf eine Kombination aus TPM und PIN, die sich per PowerShell, Kommandozeile oder Systemsteuerung einrichten lässt.

Für Unternehmensumgebungen mit noch nicht verschlüsselten Geräten rät Microsoft, die Option "Require additional authentication at startup" über Microsoft Intune oder Gruppenrichtlinien zu aktivieren und "Configure TPM startup PIN" auf "Require startup PIN with TPM" zu setzen. Der Effekt ist in beiden Fällen derselbe: Ohne korrekte PIN lässt sich das Laufwerk beim Start nicht entschlüsseln und YellowKey schlägt fehl.

Wann Microsoft einen vollständigen Patch nachliefert, ist derzeit noch offen. Bis dahin bleibt der manuelle Eingriff in das WinRE-Image die einzige technische Absicherung – kombiniert mit der TPM+PIN-Konfiguration als schnell umsetzbarer zweiter Verteidigungslinie.