Die Windows-Festplattenverschlüsselung BitLocker gilt seit Jahren als eine der zentralen Sicherheitssäulen in Unternehmens- und Privatumgebungen. Ein neu aufgetauchter Zero-Day-Exploit mit dem Namen YellowKey stellt diese Annahme nun fundamental in Frage: Laut dem veröffentlichten Proof-of-Concept soll es möglich sein, BitLocker-geschützte Laufwerke allein mithilfe einiger speziell präparierter Dateien auf einem gewöhnlichen USB-Stick zu entsperren – ohne Kenntnis des Passworts oder des Recovery-Keys.
Hintergrund: Forscher vs. Microsoft
Der Exploit stammt vom Sicherheitsforscher mit dem Pseudonym Eclipse, der offenbar in einem handfesten Konflikt mit Microsofts Security-Team steckt. Bereits im Vorfeld hatte Eclipse zwei Zero-Day-Schwachstellen veröffentlicht, die es ermöglichten, über Windows Defender an Systemadministratorrechte zu gelangen. Diese Lücken wurden Microsoft im Rahmen eines verantwortungsvollen Disclosure-Prozesses gemeldet – doch das Unternehmen wies die Berichte ab, ohne angemessen zu reagieren. Die Konsequenz: Eclipse veröffentlichte die Exploits öffentlich, was in der Security-Community als sogenannte Full Disclosure bekannt ist und als letztes Mittel gilt, wenn Hersteller untätig bleiben.
Nun legt Eclipse nach und präsentiert gleich zwei weitere kritische Schwachstellen. Neben YellowKey für BitLocker gibt es mit GreenPlasma einen weiteren Zero-Day, der eine lokale Rechteausweitung (Local Privilege Escalation) ermöglicht. Beide Exploits zusammen ergeben ein gefährliches Duo: Während GreenPlasma einem Angreifer mit physischem Zugriff erweiterte Systemrechte verschafft, hebelt YellowKey anschließend den letzten Schutzwall – die Festplattenverschlüsselung – aus.
Was bedeutet das technisch?
BitLocker setzt in seiner Standardkonfiguration auf das Trusted Platform Module (TPM), um den Verschlüsselungsschlüssel sicher zu verwahren. Angriffe auf BitLocker sind in der Vergangenheit bereits bekannt geworden, etwa durch das Abgreifen des TPM-Kommunikationsbusses mit günstiger Hardware. Der YellowKey-Exploit scheint jedoch einen anderen Angriffsvektor zu nutzen, der mit präparierten Dateien auf einem USB-Medium auskommt. Das deutet auf eine Schwachstelle in der Art hin, wie Windows den Boot-Prozess oder externe Medien verarbeitet – Kritiker sprechen bereits von einer möglichen Backdoor im System.
Auswirkungen und Einordnung
Für Unternehmen, die BitLocker als primäre Lösung zum Schutz sensibler Daten auf Laptops und mobilen Geräten einsetzen, ist diese Entwicklung äußerst beunruhigend. Besonders kritisch ist das Szenario bei gestohlenen oder verlorenen Geräten: Bisher galt BitLocker als ausreichender Schutz, um Datenzugriffe durch Unbefugte zu verhindern. Sollte YellowKey in der Praxis zuverlässig funktionieren, wäre dieser Schutz hinfällig.
Microsoft hat sich bislang nicht öffentlich zu den neuen Exploits geäußert. Das Schweigen des Konzerns wiederholt das Muster, das Eclipse überhaupt erst zur Veröffentlichung bewogen hat. IT-Administratoren sollten bis zu einem offiziellen Patch zusätzliche Sicherheitsmaßnahmen in Betracht ziehen – etwa den physischen Zugriff auf Geräte strenger zu kontrollieren, USB-Ports zu deaktivieren oder auf alternative Verschlüsselungslösungen zu setzen. Der Fall unterstreicht einmal mehr, wie wichtig ein funktionierender und respektvoller Umgang zwischen Herstellern und der Security-Research-Community ist.
Quellen: Hacker News · Tom's Hardware