Microsoft heeft dinsdag een oplossing vrijgegeven voor een BitLocker-bypass-kwetsbaarheid genaamd YellowKey, na de publieke bekendmaking ervan vorige week.
De zero-day-fout, nu bijgehouden als CVE-2026-45585heeft een CVSS-score van 6,8. Het is beschreven als een omzeiling van de BitLocker-beveiligingsfunctie.
“Microsoft is op de hoogte van een beveiligingsfunctie die de kwetsbaarheid in Windows kan omzeilen en die publiekelijk ‘YellowKey’ wordt genoemd”, aldus de technologiegigant in een advies. “Het proof of concept voor deze kwetsbaarheid is openbaar gemaakt, wat in strijd is met gecoördineerde best practices op het gebied van kwetsbaarheid.”
Het probleem heeft gevolgen voor Windows 11 versie 26H1 voor x64-gebaseerde systemen, Windows 11 Versie 24H2 voor x64-gebaseerde systemen, Windows 11 Versie 25H2 voor x64-gebaseerde systemen, Windows Server 2025 en Windows Server 2025 (Server Core-installatie).
YellowKey werd onthuld door een beveiligingsonderzoeker genaamd Chaotic Eclipse (ook bekend als Nightmare-Eclipse). Het gaat in wezen om het plaatsen van speciaal vervaardigde ‘FsTx’-bestanden op een USB-station of EFI-partitie, het aansluiten van het USB-station op de doel-Windows-computer met BitLocker-beveiliging ingeschakeld, het opnieuw opstarten in de Windows Herstelomgeving (WinRE) en het activeren van een shell met onbeperkte toegang door de CTRL-toets ingedrukt te houden.
“Als je alles goed hebt gedaan, zal er een shell verschijnen met onbeperkte toegang tot het door BitLocker beschermde volume”, merkte de onderzoeker op in een GitHub-post.
Redmond merkte op dat succesvolle exploitatie een aanvaller met fysieke toegang in staat zou kunnen stellen de BitLocker Device Encryption-functie op het systeemopslagapparaat te omzeilen en toegang te krijgen tot gecodeerde gegevens.
“Om de encryptie te doorbreken, maakt YellowKey misbruik van een gedragsmatige vertrouwensaanname in de herstelinterface, waardoor aanvallers een onbeperkte shell kunnen spawnen met volledige toegang tot het gecodeerde volume tijdens de herstelprocedure vóór het opstarten”, aldus LevelBlue. “En omdat YellowKey geen software-installatie, bestaande inloggegevens of netwerktoegang vereist om de codering te doorbreken, kan elke machine met een USB-poort die opnieuw kan worden opgestart een doelwit zijn.”
Om het risico aan te pakken, zijn de volgende maatregelen beschreven:
- Monteer de WinRE-image op elk apparaat.
- Koppel de systeemregistercomponent van de gekoppelde WinRE-installatiekopie.
- Wijzig BootExecute door de waarde “autofstx.exe” te verwijderen uit de BootExecute REG_MULTI_SZ-waarde van Session Manager.
- Registercomponent opslaan en verwijderen.
- Ontkoppel de bijgewerkte WinRE-installatiekopie en voer deze door.
- Herstel het BitLocker-vertrouwen voor WinRE.
“Concreet voorkom je dat het FsTx Auto Recovery Utility, autofstx.exe, automatisch start wanneer de WinRE-image wordt gestart”, aldus beveiligingsonderzoeker Will Dormann. “Met deze wijziging vindt de transactionele NTFS-herhaling die winpeshl.ini verwijdert niet langer plaats. Er wordt ook aanbevolen om over te schakelen van alleen TPM naar TPM+PIN.”
Microsoft benadrukte ook dat gebruikers kunnen worden beschermd tegen uitbuiting door BitLocker te configureren op reeds gecodeerde apparaten met “TPM-only” -beveiliging door over te schakelen naar de “TPM+PIN” -modus via PowerShell, de opdrachtregel of het configuratiescherm. Hiervoor is een pincode nodig om de schijf bij het opstarten te decoderen, waardoor YellowKey-aanvallen effectief worden ondersteund.
Op apparaten die niet zijn gecodeerd, worden beheerders geadviseerd om de optie ‘Extra authenticatie vereisen bij opstarten’ in te schakelen via Microsoft Intune of Groepsbeleid en ervoor te zorgen dat ‘TPM-opstartpincode configureren’ is ingesteld op ‘Opstartpincode vereisen bij TPM’.
