Folgen 
BitLocker ist dafür ausgelegt, Daten im Ruhezustand selbst dann zu schützen, wenn ein Gerät verloren geht, gestohlen oder ausgeschaltet wird. Daher zieht ein Umgehungsversuch gegen dieses Vertrauensmodell sofortige Aufmerksamkeit auf sich. Die CVE-2026-45585-Schwachstelle, öffentlich als YellowKey bekannt, ist ein Fehler in der Windows-Sicherheitsfunktion, der laut Microsoft einem Angreifer mit physischem Zugriff ermöglicht, BitLocker-Schutzmaßnahmen zu umgehen und auf verschlüsselte Daten auf betroffenen Systemen zuzugreifen. Das Problem wird mit einem CVSS-Score von 6,8 verfolgt und betrifft Windows 11 Versionen 24H2, 25H2 und 26H1 für x64-basierte Systeme sowie Windows Server 2025, einschließlich Server Core.
Für Verteidiger, die mit der Analyse von CVE-2026-45585 beginnen, ist der wichtigste Punkt, dass die Schwachstelle nicht in der Verschlüsselung selbst von BitLocker liegt. Help Net Security, unter Berufung auf NCSC Niederlande, bemerkt, dass der Fehler in der Wiederherstellungsumgebung rund um BitLocker liegt und nicht in der die Festplatte schützenden Kryptografie. Laut öffentlichen Berichten sagte ein Forscher namens Nightmare Eclipse, dass er den Zero-Day offengelegt und einen Proof-of-Concept veröffentlicht hat, der sowohl von Help Net Security als auch von The Hacker News leicht genutzt werden kann.
Analyse von CVE-2026-45585
CVE-2026-45585 wird über die Windows-Wiederherstellungsumgebung ausgenutzt und nicht über einen Remote-Angriffspfad. Laut The Hacker News beinhaltet der Angriff das Platzieren speziell gestalteter FsTx-Dateien auf einem USB-Laufwerk oder einer EFI-Partition, das Anschließen des Mediums an ein Zielsystem mit aktiviertem BitLocker, das Neustarten in WinRE und das Auslösen einer unbeschränkten Shell, indem die STRG-Taste gedrückt gehalten wird. Gelingt der Angriff, erhält der Angreifer während der Wiederherstellungssequenz vor dem Booten Zugriff auf das BitLocker-geschützte Volume.
In praktischen Begriffen ist das veröffentlichte CVE-2026-45585 kein traditioneller Malware-Dropper, sondern ein böswilliges Setup für die Wiederherstellungssequenz, das vertrauenswürdiges Verhalten vor dem Booten ausnutzt. Deshalb sind die öffentlichen Details zu CVE-2026-45585 auch operationell so bedeutsam: Jedes betroffene Gerät mit einem erreichbaren USB-Port oder EFI-Pfad und der Möglichkeit, neu gestartet zu werden, könnte bei physischem Zugriff des Angreifers zum Ziel werden. Der öffentliche CVE-2026-45585-PoC hat bereits die Hürde für Nachahmungen gesenkt.
Aus Gesichtspunkt der Überwachung ist die Erkennung von CVE-2026-45585 herausfordernder als bei netzwerkbasierten Schwachstellen, da der Exploit lokal und vor dem Booten stattfindet. In den zitierten Berichten sind keine vom Anbieter veröffentlichten CVE-2026-45585-IOCs vorhanden, daher ist der realistischste Weg, um CVE-2026-45585-Exposition zu erkennen, die Überprüfung von Assets: Ermitteln Sie betroffene Windows 11- und Windows Server 2025-Systeme, bestimmen Sie, ob sie sich ausschließlich auf TPM-BitLocker-Schutz verlassen, und überprüfen Sie, ob Microsofts temporäre Abschwächung auf das WinRE-Image angewendet wurde.
Aus Perspektive der Exposition betrifft CVE-2026-45585 Organisationen, die auf BitLocker angewiesen sind, um unbewachte Laptops, mobile Arbeitsstationen oder tragbare Server vor offline Zugriff nach Diebstahl oder vorübergehendem physischen Zugriff zu schützen. Da die Schwachstelle eine Sicherheitsfunktion umgeht und nicht selbst die Verschlüsselung bricht, ist das Hauptziel der Verlust der Vertraulichkeit, wenn ein Angreifer Zugriff auf den Wiederherstellungs-Workflow erhält, bevor der berechtigte Nutzer die Kontrolle über das Gerät zurückgewinnt.
Abschwächung von CVE-2026-45585
Die aktuelle Abschwächungsrichtlinie von Microsoft für CVE-2026-45585 bietet zwei Hauptwege. Der erste besteht darin, das gemountete WinRE-Image zu ändern, indem autofstx.exe aus dem Wert REG_MULTI_SZ des Session Manager BootExecute entfernt wird, dann die offline Registrierungsänderungen zu speichern, das aktualisierte Image zu demontieren und festzuschreiben und das BitLocker-Vertrauen für WinRE wiederherzustellen. The Hacker News sagt, dass Microsoft später die Beratung mit einem Skript ergänzt hat, das diesen Arbeitsablauf sicher automatisiert, indem es WinRE mountet, den offline SYSTEM-Hive bearbeitet, den Eintrag entfernt, wenn vorhanden, und WinRE wiederschließt, sodass das BitLocker-Vertrauen intakt bleibt.
Der zweite Abschwächungsweg besteht darin, Geräte von einem ausschließlichen TPM-Schutz zu entfernt und einen TPM+PIN beim Start zu verlangen. Microsoft sagt, dass dies auf bereits verschlüsselten Systemen über PowerShell, die Befehlszeile oder die Systemsteuerung durchgeführt werden kann. Für Systeme, die noch nicht verschlüsselt sind, wird Administratoren empfohlen, die zusätzliche Authentifizierung beim Start über Gruppenrichtlinien oder Intune zu aktivieren und einen Start-PIN mit TPM zu konfigurieren. Help Net Security bemerkt, dass Forscher glauben, dass die erste Abschwächung wirksam ist, da sie verhindert, dass das FsTx Auto Recovery Utility automatisch gestartet wird, wenn WinRE beginnt, obwohl ein Forscher auch behauptete, ein separates Umgehungsverfahren für TPM+PIN werde vorerst zurückgehalten.
FAQ
Was ist CVE-2026-45585 und wie funktioniert es?
CVE-2026-45585 ist eine Umgehung der BitLocker-Sicherheitsfunktion in Windows, auch YellowKey genannt. Es funktioniert, indem es vertrauenswürdiges Verhalten in der Windows-Wiederherstellungsumgebung ausnutzt, sodass ein Angreifer mit physischem Zugriff eine unbeschränkte Shell auslösen und während der Wiederherstellung vor dem Booten auf das verschlüsselte Volume zugreifen kann.
Wann wurde CVE-2026-45585 zuerst entdeckt?
Die beiden zitierten Berichte geben kein privates Entdeckungsdatum bekannt. Öffentlich sagt Help Net Security, dass der Zero-Day circa eine Woche vor Microsofts Abschwächung offengelegt wurde, und beide Berichte verorten die Veröffentlichung der Microsoft-Abschwächung auf den 20. Mai 2026, mit einem zusätzlichen Skript-Update, das von Help Net Security am 21. Mai 2026 notiert wurde.
Welche Auswirkungen hat CVE-2026-45585 auf Systeme?
Die Hauptauswirkung ist unbefugter Zugriff auf BitLocker-geschützte Daten. Ein erfolgreicher Angriff kann es einer Person mit physischem Zugriff ermöglichen, den Schutz um das verschlüsselte Laufwerk zu umgehen und Daten zu lesen, die im Ruhezustand geschützt bleiben sollten.
Kann CVE-2026-45585 mich 2026 noch betreffen?
Ja. Systeme, die die betroffenen Windows 11- und Windows Server 2025-Versionen ausführen, können 2026 weiterhin exponiert sein, wenn sie nicht Microsofts Abschwächung angewendet haben und immer noch auf das anfällige Wiederherstellungsverhalten vertrauen, besonders dort, wo physischer Zugriff nicht streng kontrolliert werden kann.
Wie kann ich mich vor CVE-2026-45585 schützen?
Wenden Sie Microsofts WinRE-Abschwächung an, indem Sie autofstx.exe aus der offline BootExecute-Einstellung entfernen und das BitLocker-Vertrauen wiederschließen, oder verlangen Sie TPM+PIN anstelle von ausschließlichem TPM-Schutz beim Start. Für neue Bereitstellungen aktivieren Sie zusätzliche Authentifizierung beim Start durch Richtlinien, damit BitLocker nicht allein auf dem schwächeren Standardpfad übernimmt.
