Microsoft warnt vor BitLocker-Sicherheitslücke und veröffentlicht Schutzmaßnahmen

Sensible Daten könnten innerhalb weniger Minuten offengelegt werden. Die Information über die Lücke wurde am 19. Mai 2026 öffentlich gemacht. Auch wenn bisher keine aktive Ausnutzung bestätigt wurde, stuft Microsoft das Risiko als „Exploitation More Likely" ein.

Die Schwachstelle wird als Sicherheitsmerkmalsumgehung (Security Feature Bypass) mit der Bewertung „Important" klassifiziert. Technische Hintergründe und betroffene Systeme Die Lücke befindet sich in der Windows Recovery Environment (WinRE) und ist mit einer Exploit-Kette namens „YellowKey" verknüpft, die vom Forscher Nightmare-Eclipse entwickelt wurde.

Ein Angreifer kann diese Schwachstelle nutzen, um die BitLocker-Geräteverschlüsselung zu umgehen, ohne dass Anmeldedaten oder Entschlüsselungsschlüssel benötigt werden. Betroffen sind ausschließlich Windows 11 sowie Windows Server 2022 und Windows Server 2025. Bisher liegt kein offizieller Patch vor.

Sicherheitslage und Risiko

Stattdessen hat Microsoft eine mehrstufige manuelle Anleitung zur Behebung herausgegeben, während ein formales Sicherheitsupdate vorbereitet wird. Der Angriffsweg nutzt einen Registrierungseintrag namens „BootExecute" unter dem Pfad HKLM\ControlSet001\Control\Session Manager.

Eine bösartige Datei, autofstx.exe, wird in diesen Wert injiziert und ausgeführt, bevor das Betriebssystem vollständig startet. Dadurch wird die BitLocker-Authentifizierung vor dem Hochfahren des Systems umgangen. Da WinRE außerhalb der normalen Betriebsumgebung läuft, können herkömmliche Endpoint-Security-Tools diese Ausführung oft nicht erkennen.

Manuelle Abhilfemaßnahmen sechsstufiges Verfahren bereitgestellt, um die WinRE-Konfiguration zu korrigieren: 1. Mounten Sie das WinRE-Image mit dem Befehl `reagentc /mountre /path C:\mount`. 2. Laden Sie den Systemregistereintrag über den Befehl `reg load HKLM\WinREHive`. 3.

Technischer Hintergrund

Entfernen Sie den Eintrag für `autofstx.exe` aus dem BootExecute-Wert im geladenen Registrierungshive. 4. Laden Sie das Registrierungshive wieder aus mit `reg unload HKLM\WinREHive`. 5. Trennen Sie das Image und speichern Sie die nderungen mit `reagentc /unmountre /path C:\mount /commit`. 6.

Wiederherstellen Sie die BitLocker-Konfiguration, indem Sie zuerst `reagentc /disable` und anschließend `reagentc /enable` ausführen. Langfristige Sicherheitsstrategie Neben der Reparatur, ützten BitLocker-Konfiguration auf eine Kombination aus TPM und PIN umzusteigen.

Administratoren können dies über PowerShell, die Eingabeaufforderung oder die BitLocker-Einstellungen in der Systemsteuerung umsetzen.

Technischer Hintergrund

Falls Gruppenrichtlinien die PIN-Konfiguration blockieren, müssen Administratoren zunächst die Option „Zusätzliche Authentifizierung beim Start erforderlich" über gpedit.msc aktivieren und die Einstellung „TPM-Start-PIN konfigurieren" auf „Start-PIN mit TPM erforderlich" setzen.

Für nicht verwaltete Geräte unterstützen Microsoft Intune sowie gruppenrichtlinienbasierte Bereitstellungen die Durchsetzung ßen Maßstab. Physische Angriffe auf verschlüsselte Endgeräte stellen eine wachsende Bedrohung dar, insbesondere bei verlorenen oder gestohlenen Unternehmenslaptops.

Die öffentliche Verfügbarkeit des YellowKey-Exploit-Codes senkt die Einstiegshürde für Angreifer erheblich und macht die Lücke auch für weniger erfahrene Täter zugänglich. Sicherheitsteams sollten die manuellen WinRE-Maßnahmen priorisieren und Richtlinien für TPM plus PIN unverzüglich durchsetzen, noch bevor ein offizielles Patch-Release erfolgt.