YellowKey: Technische Analyse eines möglichen BitLocker-Recovery-Angriffs

YellowKey: Was bisher öffentlich ist

Am 12. Mai 2026 wurde unter dem GitHub-Account Nightmare-Eclipse ein Repository mit dem Namen YellowKey veröffentlicht. Beschrieben wird darin ein potenzieller Angriffspfad gegen den Festplattenverschlüsselungsschutz BitLocker in Windows 11 sowie in Windows Server 2022 und 2025. Laut Repository ist physischer Zugang zum Gerät erforderlich – ein vorbereiteter USB-Stick oder direkter Zugriff auf die EFI-Partition soll es ermöglichen, im Recovery-Kontext Zugriff auf das betroffene Volume zu erhalten.

Laut der README im Repository liegt die Ursache in einer Komponente, die nur innerhalb der Windows Recovery Environment (WinRE) aktiv ist und auf eine spezielle Ordnerstruktur namens FsTx innerhalb des System Volume Information-Verzeichnisses reagiert. Die Repository-Beschreibung selbst bezeichnet den Befund als „(potential) backdoor“; in der Danksagung werden die Microsoft-internen Teams MORSE, MSTIC und GHOST genannt – ein ungewöhnlicher Hinweis, der einen Konflikt zwischen der Researcher-Seite und dem Hersteller andeutet. Diese Bezeichnung spiegelt ausschließlich die Perspektive der veröffentlichenden Seite wider; für eine absichtliche Hintertür gibt es derzeit keinerlei belastbare Hinweise.

Stand der Bestätigung

Zum Zeitpunkt der Veröffentlichung dieses Beitrags am 13. Mai 2026 liegt keine offizielle Microsoft-Bestätigung und keine CVE-Nummer für YellowKey vor. Die Informationen stammen ausschließlich aus dem GitHub-Repository Nightmare-Eclipse/YellowKey und unabhängigen Sekundäranalysen. Reproduktionsschritte sind beschrieben, eine offizielle Patch-Information steht noch aus.

Die Angriffskette im Detail

Die im Repository dokumentierte Reproduktion ist erstaunlich schlank. Der Angreifer benötigt keinen Exploit-Code im klassischen Sinn, sondern lediglich eine vorbereitete Verzeichnisstruktur und physischen Zugang. Der entscheidende Trick: Die WinRE-Komponente lädt offenbar Inhalte aus einem Pfad, der unter regulärem Windows nicht beschreibbar wäre – auf einem externen Datenträger oder der EFI-Partition jedoch sehr wohl.

Ablauf des Angriffs

1USB-Stick mit NTFS (alternativ FAT32/exFAT) wird formatiert und mit der FsTx-Ordnerstruktur unter System Volume Information versehen.
2Der Datenträger wird in das BitLocker-geschützte Zielsystem eingesteckt.
3Durch Drücken von Shift+Restart wird das Gerät in die Windows Recovery Environment (WinRE) gebootet.
4Während des Neustarts wird die Strg-Taste gehalten – die WinRE-Komponente reagiert laut Repository auf die FsTx-Struktur und öffnet eine Shell.
5Die geöffnete Shell ermöglicht nach Angaben des Repositorys weitreichenden Zugriff im Recovery-Kontext auf das betroffene Volume – ohne Kenntnis des Recovery-Keys oder einer PIN.

Eine zweite Variante kommt ganz ohne externes Medium aus: Wird die Festplatte des Zielsystems entnommen, kann der Angreifer die FsTx-Struktur direkt auf die EFI-System-Partition (ESP) kopieren. Die ESP ist standardmäßig nicht durch BitLocker verschlüsselt – sie enthält den Bootloader und ist für jedes Live-System mit Schreibrechten zugänglich. Nach dem Wiedereinsetzen der Platte greift die Schwachstelle ohne weitere Hardware.

Abstrakte Visualisierung eines USB-Datenträgers als Angriffsvektor auf ein verschlüsseltes System — Symbolbild: Der Angriff erfordert physischen Zugang, jedoch keinen Recovery-Schlüssel.

Vorbereitete Verzeichnisstruktur (Auszug)

USB-Stick (NTFS)
└── System Volume Information\
    └── FsTx\
        └── 95F62703B343F111A92A005056975458\
            └── [exploit-spezifische Dateien]

EFI-Partition (Alternative)
└── \EFI\Microsoft\Boot\...
    └── analoge Platzierung der FsTx-Struktur

Betroffene Systeme und Voraussetzungen

Die Schwachstelle soll laut Repository ausschließlich neuere Windows-Versionen betreffen. Nach aktuellem Kenntnisstand scheint Windows 10 nicht betroffen zu sein, da die betreffende WinRE-Komponente dort in einer Variante ohne die beschriebene Funktionalität ausgeliefert wird. Diese Unterscheidung wird im Repository als Indiz gewertet; eine unabhängige Bestätigung liegt nicht vor.

System	Betroffen	Anmerkung
Windows 11 (alle Builds)	Ja	Primäres Ziel der Veröffentlichung
Windows Server 2022	Ja	Gleiche WinRE-Codebasis
Windows Server 2025	Ja	Gleiche WinRE-Codebasis
Windows 10	Nein	Komponente ohne kritische Funktionalität

Angriffsvoraussetzung: Physischer Zugang

YellowKey ist kein Remote-Exploit. Der Angreifer benötigt physischen Zugang zum Gerät – mindestens für die Dauer eines Neustarts. Damit verschiebt sich das Bedrohungsmodell deutlich Richtung gestohlener Notebooks, verlorener Field-Devices, Außendienst-Hardware sowie unbeaufsichtigter Workstations in offenen Büroumgebungen. Für Geräte, die nicht das Unternehmensgelände verlassen, ist das Risiko niedriger, aber nicht null.

Warum dieser Fund relevant ist

BitLocker gilt in vielen Compliance-Rahmenwerken als technisch ausreichende Maßnahme zur Absicherung von Daten bei Geräteverlust („data at rest“). Eine funktionierende Bypass-Methode unterminiert diese Annahme – mit weitreichenden Folgen für die Bewertung von Vorfällen wie dem Verlust eines Firmen-Notebooks oder eines gestohlenen Außendienst-Tablets.

Compliance-Annahmen hinterfragen

NIS2- und DORA-relevante Risikoanalysen werten BitLocker oft als ausreichende Schutzmaßnahme. Organisationen sollten prüfen, ob bestehende Annahmen zu TPM-only-Schutzmodellen weiterhin ausreichend sind – insbesondere bei mobilen Endgeräten.

Incident-Response überprüfen

Bei Geräteverlust sollte nicht ohne weiteres unterstellt werden, dass die Daten unzugänglich sind. Meldepflichten nach DSGVO Art. 33 sollten im Einzelfall aktiv geprüft werden.

TPM-only wird kritisch

Konfigurationen ohne Pre-Boot-Authentifizierung (TPM-only) sind besonders exponiert. Eine PIN- oder Startup-Key-Anforderung erschwert die Recovery-Umgebung deutlich.

Forensische Bewertung neu

Vorhandene FsTx-Strukturen auf EFI-Partitionen sind ab sofort als Indikator für Manipulationsversuche zu betrachten – auch ohne erfolgten Exploit.

Schutzmaßnahmen und Härtung

Solange kein offizieller Patch von Microsoft vorliegt, sollten Organisationen konfigurative und organisatorische Maßnahmen evaluieren. Ein zentraler Ansatz ist die Härtung der Pre-Boot-Authentifizierung – sie verschiebt den Angriffspunkt vor die Recovery-Umgebung und reduziert die Angriffsfläche erheblich.

Geschichtete Sicherheitsschilde über einem dunklen Tresor als Symbol für Defense in Depth — Defense in Depth: TPM, PIN und physische Sicherung kombinieren.

Empfohlene Sofortmaßnahmen

TPM + PIN aktivieren: Über Gruppenrichtlinien (Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → BitLocker) eine zusätzliche PIN-Eingabe vor dem Booten erzwingen.

WinRE deaktivieren oder absichern: Wo operativ vertretbar, kann die Recovery-Umgebung eingeschränkt oder deaktiviert werden (reagentc /disable). Wichtig: Diese Maßnahme kann Windows-Update-Recovery-Prozesse sowie OEM-Support-Abläufe erheblich beeinträchtigen. Vorab in Testumgebungen validieren, Risikoabwägung durchführen – keine pauschale Empfehlung für alle Umgebungen.

Boot-Reihenfolge sperren: Im UEFI ein BIOS-/UEFI-Passwort setzen, USB-Boot deaktivieren und Secure Boot durchsetzen.

Physische Sicherung: Gehäuse-Verriegelungen, manipulationssichere Versiegelung und Asset-Tracking für mobile Geräte.

PowerShell · Status der BitLocker-Konfiguration prüfen

# Aktuelle Schutzmechanismen auflisten
Get-BitLockerVolume | Select-Object MountPoint, ProtectionStatus, KeyProtector

# Prüfen, ob TPM-only oder TPM+PIN aktiv ist
manage-bde -protectors -get C:

# WinRE-Status prüfen
reagentc /info

# WinRE temporär deaktivieren (Vorsicht: Auswirkungen auf Updates beachten)
reagentc /disable

Detektion · FsTx-Strukturen auf Endpunkten suchen

# PowerShell: nach verdächtigen FsTx-Pfaden auf allen Volumes scannen
Get-PSDrive -PSProvider FileSystem | ForEach-Object {
  $path = Join-Path $_.Root 'System Volume Information\FsTx'
  if (Test-Path $path) {
    Write-Warning "Verdaechtige Struktur gefunden: $path"
    Get-ChildItem -Force $path | Format-List FullName, Length, CreationTime
  }
}

Privilegierter Zugriff als zusätzliche Schicht

Auch bei erfolgreichem BitLocker-Bypass bleibt die Frage, was ein Angreifer mit dem entschlüsselten Volume tatsächlich erreicht. Werden Domain-Admin-Credentials, lokale Hashes oder Secrets nicht im Klartext auf dem Endpunkt vorgehalten, sinkt der Schaden erheblich. Eine zentral abgesicherte Privileged Access Bridge trennt administrative Sessions sauber vom Endgerät.

Einordnung und Ausblick

YellowKey ist Teil einer Doppelveröffentlichung – im gleichen Zeitraum wurde von derselben Quelle eine Local-Privilege-Escalation namens GreenPlasma publiziert. Sekundärquellen berichten, dass aus derselben Quelle zuvor bereits unter den Bezeichnungen BlueHammer und RedSun Exploits offengelegt wurden. Der Hintergrund scheint ein Konflikt mit Microsoft über den Umgang mit Schwachstellenmeldungen zu sein – die Veröffentlichungen tragen damit den Charakter einer öffentlichen Eskalation.

Für Verantwortliche in IT- und Sicherheitsorganisationen ergeben sich aus dieser Veröffentlichung zwei Hinweise: Erstens sollte das Bedrohungsmodell „verschlüsseltes Notebook ist sicher“ im Licht dieser Forschung neu bewertet werden. Zweitens bleiben Pre-Boot-Authentifizierung und Defense-in-Depth auch in einer Welt mit hardwaregestützter Verschlüsselung wesentliche Schutzebenen. Wer NIS2-Anforderungen umsetzt, könnte BitLocker-Konfigurationen explizit gegen physische Angriffsszenarien evaluieren.

Quellen und weiterführende Hinweise

GitHub-Repository Nightmare-Eclipse/YellowKey (Veröffentlichung 12. Mai 2026); unabhängige Analysen unter anderem bei hetmehta.com sowie securityonline.info. Eine offizielle Stellungnahme von Microsoft oder eine CVE-Zuordnung lag zum Redaktionsschluss (13. Mai 2026, 15:00 UTC) nicht vor. Inhalte dieses Beitrags werden aktualisiert, sobald Microsoft eine Bestätigung veröffentlicht.