Windows-BitLocker-Zero-Day CVE‑2026‑45585 (YellowKey): Out-of-Band-Patch verfügbar, belgische Behörde warnt vor aktiver Nutzung
Die BitLocker-Schwachstelle CVE-2026-45585 (YellowKey) erlaubt physischen Zugriff auf verschlüsselte Windows-Laufwerke über die Windows Recovery Environment. Nach einem PoC-Exploit warnte das Centre for Cybersecurity Belgium vor aktiver Ausnutzung – Microsoft lieferte bereits einen Notfall-Patch.
Eine als YellowKey bekannte Sicherheitslücke in der Windows Recovery Environment (WinRE) ermöglicht es Angreifern mit physischem Zugang, die BitLocker-Vollverschlüsselung unter Windows 11 und Windows Server 2022/2025 vollständig zu umgehen. Microsoft stuft die Schwachstelle CVE-2026-45585 mit einem CVSS-Score von 6.8 als „Security Feature Bypass" ein. Nachdem ein Sicherheitsforscher Mitte Mai 2026 einen funktionsfähigen Proof-of-Concept veröffentlichte, reagierte Microsoft mit einem außerplanmäßigen Out-of-Band-Patch. Das Centre for Cybersecurity Belgium (CCB) warnte Anfang Juni vor aktiver Ausnutzung in der Praxis und empfiehlt sofortiges Handeln.
Die Schwachstelle: BitLocker-Bypass über WinRE
CVE-2026-45585 nutzt einen Fehler in der Windows Recovery Environment aus. Angreifer benötigen physischen Zugang zum Zielsystem sowie speziell präparierte FsTx-Dateien, die entweder auf einem USB-Datenträger oder direkt auf der EFI-Partition des Laufwerks platziert werden. Ein anschließender Neustart in WinRE genügt, um die BitLocker-Verschlüsselung zu umgehen und auf sämtliche gespeicherten Daten zuzugreifen – ohne den korrekten Entsperrschlüssel zu kennen.
Der Sicherheitsforscher Chaotic Eclipse (auch bekannt als Nightmare-Eclipse) veröffentlichte am 13. Mai 2026 einen funktionsfähigen PoC-Exploit auf GitHub. Microsoft reagierte daraufhin außerplanmäßig und stellte am 28. Mai 2026 den Notfall-Patch KB5039142 bereit – außerhalb des regulären Patch-Tuesday-Zyklus.
Derselbe Forscher hat mit GreenPlasma eine weitere Schwachstelle (CTFMON-Privilege-Escalation) dokumentiert, für die bislang kein Patch existiert. Der zugehörige PoC ist jedoch noch unvollständig, weshalb die unmittelbare Gefährdung dort als geringer eingeschätzt wird.
Bin ich betroffen?
Von CVE-2026-45585 sind folgende Produkte betroffen, sofern BitLocker aktiviert ist:
| Produkt | Betroffene Versionen |
|---|---|
| Windows 11 | 26H1, 24H2, 25H2 |
| Windows Server 2022 | alle Builds mit BitLocker |
| Windows Server 2025 | alle Builds mit BitLocker |
Besonders gefährdet sind Laptops und physisch zugängliche Server, auf denen BitLocker im TPM-only-Modus betrieben wird – also ohne zusätzliche PIN-Abfrage beim Start. In diesem Modus entsperrt das System das Laufwerk automatisch, was die Ausnutzung erheblich erleichtert.
Mit folgendem PowerShell-Befehl lässt sich der aktuelle BitLocker-Status und der verwendete Schlüsselprotector prüfen:
Get-BitLockerVolume | Select-Object MountPoint, ProtectionStatus, KeyProtectorErscheint in der Ausgabe ausschließlich Tpm als Schlüsselprotector, besteht erhöhter Handlungsbedarf. Anleitungen zur sicheren Verwaltung von Windows-Updates finden sich in der s-edv.com-Anleitung zu Windows-Updates und WSUS/Update for Business.
Wie behebe ich das?
Microsoft stellt den Out-of-Band-Patch KB5039142 (veröffentlicht am 28. Mai 2026) über Windows Update sowie den Microsoft Update Catalog bereit. Die Installation sollte umgehend erfolgen.
Schritte zur Behebung:
- Patch KB5039142 über Windows Update oder den Microsoft Update Catalog herunterladen und installieren.
- System nach der Installation neu starten.
- BitLocker-Status erneut prüfen und sicherstellen, dass der Patch korrekt eingespielt wurde.
Sofort-Mitigation bis zur Patch-Installation: Den BitLocker-Schlüsselprotector von TPM-only auf TPM + PIN umstellen. Damit ist beim Systemstart zwingend eine PIN erforderlich, was den Angriff über WinRE erheblich erschwert. Der Wechsel ist per PowerShell möglich:
Add-BitLockerKeyProtector -MountPoint "C:" -TpmAndPinProtectorAdministratoren, die BitLocker über Gruppenrichtlinien verwalten, sollten die entsprechenden Richtlinien ebenfalls anpassen. Die s-edv.com-Anleitung zu Gruppenrichtlinien (GPO) – Grundlagen und Praxis erläutert das Vorgehen im Detail.
Was bedeutet das für Unternehmen?
CVE-2026-45585 verdeutlicht ein grundsätzliches Risiko bei der Vollverschlüsselung mit BitLocker: Gerät ein Notebook oder ein physisch zugänglicher Server in falsche Hände – auch nur für kurze Zeit –, kann ein Angreifer mit dem PoC-Exploit sämtliche gespeicherten Daten auslesen. Die Verschlüsselung schützt in diesem Szenario nicht mehr.
Besonders für Unternehmen mit mobilen Mitarbeitern, vertraulichen Kundendaten oder Compliance-Anforderungen (etwa unter der DSGVO) ist die Lücke als kritisch einzustufen, auch wenn der CVSS-Wert von 6.8 auf den ersten Blick moderat wirkt. Die Warnung des CCB vor aktiver Ausnutzung in der Praxis erhöht den Handlungsdruck erheblich.
IT-Verantwortliche sollten den Patch KB5039142 in ihre Notfall-Patch-Prozesse aufnehmen und nicht bis zum nächsten regulären Patch-Tuesday warten. Zusätzlich empfiehlt es sich, die BitLocker-Konfiguration unternehmensweit zu auditieren und überall, wo möglich, auf TPM + PIN umzustellen. Wer einen strukturierten Notfallplan für Sicherheitsvorfälle benötigt, findet auf s-edv.com entsprechende Orientierung in der Anleitung Ransomware-Notfallplan: Die ersten 60 Minuten.
Quellen: BleepingComputer: Windows BitLocker zero-day gives access to protected drives, PoC released | The Hacker News: Microsoft Releases Mitigation for YellowKey BitLocker Bypass CVE-2026-45585 | SecurityWeek: Microsoft Rolls Out Mitigations for 'YellowKey' BitLocker Bypass
