BitLocker-Zero-Day-Sicherheitslücke macht Windows-Laufwerke angreifbar, nachdem PoC veröffentlicht wurde

Öffentlicher Exploit-Code schürt neue Bedenken hinsichtlich der Windows-Festplattenverschlüsselung und der lokalen Rechteausweitung.

YellowKey zielt auf die Windows-Wiederherstellung ab

Ein Forscher hat einen Proof-of-Concept (PoC)-Exploit-Code für zwei ungepatchte Windows-Schwachstellen veröffentlicht. Darunter befindet sich eine BitLocker-Umgehung, die verschlüsselte Laufwerke betroffener Systeme offenlegen kann.

Die BitLocker-Schwachstelle mit dem Namen YellowKey wurde von einem Forscher unter den Pseudonymen Chaotic Eclipse und Nightmare Eclipse veröffentlicht. Sie betrifft Windows 11 und Windows Server 2022/2025 und nutzt die Windows-Wiederherstellungsumgebung aus, den Modus zur Behebung von Startproblemen.

Öffentlichen Berichten zufolge verwendet der PoC speziell präparierte FsTx-Dateien auf Wechseldatenträgern und missbraucht dann das Startverhalten der Wiederherstellungsumgebung, um eine Befehlsshell zu öffnen, während die geschützte Festplatte weiterhin zugänglich ist. Forscher, die die Technik getestet haben, bestätigen ihre Funktionsfähigkeit auf aktuellen Windows-11-Builds, wobei jedoch noch nicht alle Varianten reproduziert werden konnten.

Warum BitLocker mit reinem TPM angreifbar ist

Das Risiko ist für Geräte mit reinem TPM-BitLocker am größten. Diese gängige Konfiguration entsperrt das Betriebssystemlaufwerk beim Systemstart automatisch. Diese Bequemlichkeit macht Missbrauch während der Wiederherstellungszeit gefährlich: Das Gerät kann sich selbst entschlüsseln, bevor ein Benutzer seine Identität bestätigen kann.

Laut Microsofts BitLocker-Richtlinien können Start-PINs und andere Schutzmechanismen die Authentifizierung vor dem Systemstart für Geräte mit höherem Risiko verstärken. Der Forscher behauptet jedoch, dass ein separater Pfad für TPM und PIN existiert, der noch nicht vollständig offengelegt wurde, wodurch den Verteidigern ein unvollständiges technisches Bild bleibt.

GreenPlasma wirft Bedenken hinsichtlich Berechtigungen auf

Das zweite Problem, GreenPlasma, wird als Schwachstelle in Windows CTFMON beschrieben, die eine Rechteausweitung ermöglicht. Der Proof-of-Concept ist noch nicht vollständig, zeigt aber angeblich, wie ein Benutzer ohne Berechtigungen beliebige Speicherbereichsobjekte an Orten erstellen kann, denen privilegierte Komponenten vertrauen.

Dies verkompliziert die Angelegenheit, da eine lokale Rechteausweitung oft dazu führt, dass ein anfänglicher Zugriff zu einer Kompromittierung des gesamten Systems führt. Selbst ein unvollständiger Proof of Concept (PoC) kann Angreifern genügend Informationen liefern, um eine funktionierende Exploit-Kette zu erstellen, insbesondere in Kombination mit anderen Zugriffsmethoden.

Microsoft fordert koordinierte Offenlegung von Sicherheitslücken

Microsoft gab an, gemeldete Sicherheitsprobleme zu untersuchen und die koordinierte Offenlegung von Sicherheitslücken zu unterstützen. Dies gibt Herstellern Zeit, Fehler vor der Veröffentlichung zu validieren und zu beheben. Zum Zeitpunkt der Veröffentlichung waren weder Patches noch CVEs für YellowKey oder GreenPlasma verfügbar.

Administratoren sollten die BitLocker-Richtlinien überprüfen, der physischen Sicherheit Priorität einräumen, den Wiederherstellungszugriff einschränken, verdächtige WinRE-Nutzungen überwachen und einen stärkeren Pre-Boot-Schutz für Laptops und Systeme mit sensiblen Daten in Betracht ziehen.