Was ist YellowKey und was ist das Ziel dieser Schwachstelle?

YellowKey ist eine ungepatchte Windows-Zero-Day-Schwachstelle, die auf BitLocker abzielt, die Festplattenverschlüsselungsfunktion, die in Windows 10, 11 und Windows Server 2022 und 2025 integriert ist. Sie nutzt eine Schwäche in der Windows-Wiederherstellungsumgebung aus, um einem Angreifer mit physischem Zugang zu ermöglichen, den BitLocker-Schutz zu umgehen und den Inhalt verschlüsselter Laufwerke auszulesen.

Was bewirkt die GreenPlasma-Schwachstelle?

GreenPlasma zielt auf CTFMON ab, einen Windows-Hintergrundprozess, der Texteingabe, Handschrifterkennung und Spracheinstellungen verwaltet. Sie ermöglicht eine lokale Rechteausweitung, die es einem Angreifer, der bereits Fuß auf einem System gefasst hat, erlaubt, seine Berechtigungen auf Administrator- oder SYSTEM-Ebene anzuheben.

Hat Microsoft Patches für YellowKey und GreenPlasma veröffentlicht?

Nein, zum Zeitpunkt der Veröffentlichung des Artikels hat Microsoft für keine der beiden Schwachstellen Patches herausgegeben. Proof-of-Concept-Exploit-Code ist bereits öffentlich verfügbar, was die Hürde für die Ausnutzung durch weniger versierte Bedrohungsakteure senkt.

Erfordert YellowKey physischen Zugang zur Ausnutzung?

Ja, YellowKey erfordert, dass ein Angreifer physischen Zugang zum Zielgerät hat, um den BitLocker-Schutz zu umgehen. Realistische Bedrohungsszenarien umfassen gestohlene Laptops, Geräte in gemeinsam genutzten Büroräumen und Geräte, die an Grenzübergängen beschlagnahmt werden.

Wie könnte GreenPlasma bei einem realen Angriff eingesetzt werden?

GreenPlasma kann mit anderen Angriffstechniken kombiniert werden, beispielsweise einer Phishing-E-Mail, die eine initiale Nutzlast mit niedrigen Rechten liefert, gefolgt von einem GreenPlasma-Exploit zur Erlangung der vollständigen Systemkontrolle. Unternehmensumgebungen, Behörden und Einzelpersonen, die sensible Dateien verwalten, gelten alle als gefährdet.

YellowKey und GreenPlasma: Zwei Windows Zero-Days treffen BitLocker

Sicherheitsforscher haben zwei ungepatchte Windows-Zero-Day-Schwachstellen öffentlich bekannt gemacht, die unter den Namen YellowKey und GreenPlasma bekannt sind und BitLocker-Verschlüsselung bzw. das CTFMON-Eingabe-Framework angreifen. Proof-of-Concept-Exploit-Code wurde bereits veröffentlicht, was bedeutet, dass die Windows-BitLocker-Zero-Day-Schwachstelle nicht nur theoretischer Natur ist. Für die Millionen von Nutzern und Organisationen, die sich auf BitLocker als Eckpfeiler ihrer Datenschutzstrategie verlassen, ist diese Offenlegung ein ernstes Warnsignal.

Was YellowKey und GreenPlasma tatsächlich tun

YellowKey ist die unmittelbar beunruhigendere der beiden Schwachstellen. Sie zielt auf BitLocker ab, die Festplattenverschlüsselungsfunktion, die in Windows 10 und 11 sowie in Windows Server 2022 und 2025 integriert ist. Durch die Ausnutzung einer Schwäche in der Windows-Wiederherstellungsumgebung ermöglicht die Schwachstelle einem Angreifer mit physischem Zugang zu einem Gerät, den standardmäßigen BitLocker-Schutz zu umgehen und auf den Inhalt eines verschlüsselten Laufwerks zuzugreifen. In der Praxis könnten die Daten eines gestohlenen Laptops, der zuvor durch BitLocker-Verschlüsselung als sicher galt, ohne die korrekte PIN oder das korrekte Passwort ausgelesen werden.

GreenPlasma zielt auf CTFMON ab, einen Windows-Hintergrundprozess, der Texteingabe, Handschrifterkennung und Spracheinstellungen verwaltet. Diese Schwachstelle ermöglicht eine lokale Rechteausweitung, das heißt, ein Angreifer, der bereits Fuß auf einem System gefasst hat, kann seine Berechtigungen auf eine höhere Ebene anheben und potenziell Administrator- oder SYSTEM-Zugang erlangen. Die beiden Schwachstellen zusammen stellen eine gefährliche Kombination dar: Eine bricht die Mauer, die Ihre ruhenden Daten schützt, während die andere eine tiefere Systemkompromittierung ermöglicht, sobald ein Angreifer im System ist.

Zum Zeitpunkt der Veröffentlichung hat Microsoft für keine der beiden Schwachstellen Patches herausgegeben. Proof-of-Concept-Code ist öffentlich verfügbar, was die Hürde für die Ausnutzung durch weniger versierte Bedrohungsakteure erheblich senkt.

Wer gefährdet ist und welche Daten betroffen sind

Jeder, der ein Windows-11-System oder Windows Server 2022 und 2025 mit aktiviertem BitLocker betreibt, ist potenziell von YellowKey betroffen. Die Anforderung des physischen Zugangs begrenzt die Angriffsfläche im Vergleich zu einem vollständig entfernten Exploit, aber dieser Einschränkung sollte kein allzu großer Trost entnommen werden. Laptops, die von Mitarbeitern in hybriden Arbeitsumgebungen genutzt werden, Geräte in gemeinsam genutzten Büroräumen und Geräte, die an Grenzübergängen beschlagnahmt oder untersucht werden, sind allesamt realistische Bedrohungsszenarien.

Bei GreenPlasma ist das Risikoprofil in gewisser Hinsicht breiter. Lokale Rechteausweitungs-Schwachstellen werden häufig mit anderen Angriffstechniken kombiniert. Eine Phishing-E-Mail, die eine initiale Nutzlast mit niedrigen Rechten liefert, könnte beispielsweise durch einen GreenPlasma-Exploit ergänzt werden, um die vollständige Systemkontrolle zu erlangen. Unternehmensumgebungen, Behörden und Einzelpersonen, die sensible Dateien verwalten, sind alle im Visier.

Die gefährdeten Daten reichen von persönlichen Dokumenten und Finanzdaten bis hin zu geistigem Eigentum von Unternehmen und auf der Festplatte gespeicherten Anmeldeinformationen. Organisationen, die unter Compliance-Rahmenwerken wie HIPAA, DSGVO oder CMMC arbeiten, müssen prüfen, ob diese Schwachstellen ihre regulatorischen Verpflichtungen beeinflussen.

Warum BitLocker-Nutzer sich nicht allein auf Festplattenverschlüsselung verlassen können

Die Offenlegung von YellowKey verdeutlicht eine grundlegende Einschränkung, die datenschutzbewusste Nutzer häufig übersehen: Verschlüsselung schützt Daten nur so lange, wie der Verschlüsselungsmechanismus selbst nicht kompromittiert ist. BitLocker wurde entwickelt, um gegen Offline-Angriffe zu schützen – in erster Linie Szenarien, in denen ein Laufwerk entfernt und auf einem anderen Gerät ausgelesen wird. Es wurde nicht als undurchdringliche Festung gegen einen ausgeklügelten Angreifer konzipiert, der mit einem Zero-Day-Exploit bewaffnet ist, der genau den Prozess angreift, der das Entsperren des Laufwerks verwaltet.

Dies ist das Kernargument für Defense-in-Depth. Das Verlassen auf eine einzige Sicherheitskontrolle, egal wie vertrauenswürdig, schafft einen einzelnen Fehlerpunkt. Wenn diese Kontrolle umgangen wird, steht nichts mehr zwischen einem Angreifer und Ihren Daten. Dieselbe Logik gilt für Bedrohungen auf Netzwerkebene: Die Verschlüsselung des Datenverkehrs bei der Übertragung durch ein VPN schützt Sie nicht, wenn Ihr Endpunkt bereits kompromittiert wurde, und die Sicherung Ihres Endpunkts schützt keine Daten, die unverschlüsselt über ein nicht vertrauenswürdiges Netzwerk fließen.

Das Auftreten dieser beiden Schwachstellen ist auch eine Erinnerung daran, dass Bedrohungsakteure nicht immer eine ausgefeilte Infrastruktur benötigen, um ernsthaften Schaden anzurichten. Wie in Kampagnen wie den gefälschten Regierungswebsites, die Bürger weltweit ins Visier nehmen dokumentiert, werden Social Engineering und handelsübliche Tools häufig mit öffentlich verfügbaren Exploits zu verheerenden Auswirkungen kombiniert. Ein öffentlicher PoC für eine BitLocker-Umgehung senkt die Anforderungen an die technischen Kenntnisse erheblich.

Defense-in-Depth-Maßnahmen: Patching, VPNs und mehrschichtige Sicherheit

Bis Microsoft offizielle Patches veröffentlicht, sollten Nutzer und Administratoren die folgenden Schritte unternehmen.

Überwachen Sie Microsoft-Sicherheitsupdates. Halten Sie Windows Update aktiviert und prüfen Sie auf außerplanmäßige Patches, insbesondere angesichts der öffentlichen Verfügbarkeit von PoC-Code. Wenn Patches verfügbar sind, priorisieren Sie deren Bereitstellung.

Aktivieren Sie BitLocker mit einer PIN. Die standardmäßige TPM-only-BitLocker-Konfiguration ist anfälliger für diese Art von Angriff. Die Konfiguration von BitLocker zur Anforderung einer Pre-Boot-PIN fügt eine Reibungsebene hinzu, die die Hürde für physische Angreifer erhöht.

Schränken Sie den physischen Zugang ein. Bei besonders wertvollen Geräten sind physische Sicherheitsmaßnahmen wichtig. Abgeschlossene Serverräume, Kabelschlösser für Laptops und klare Richtlinien für unbeaufsichtigte Geräte reduzieren alle die Angriffsfläche für YellowKey.

Schichten Sie Ihre Sicherheitskontrollen. Festplattenverschlüsselung ist eine Ebene, keine vollständige Strategie. Kombinieren Sie sie mit Endpoint-Detection-and-Response-Tools, Verschlüsselung auf Netzwerkebene für Daten während der Übertragung, starker Authentifizierung und Netzwerksegmentierung. Ein VPN stellt sicher, dass ausgehende Daten nicht im Klartext im Netzwerk sichtbar sind, selbst wenn ein Angreifer von einem kompromittierten Endpunkt aus agiert.

Überprüfen Sie privilegierte Konten. Angesichts des Risikos der GreenPlasma-Rechteausweitung sollten Sie überprüfen, welche Konten lokale Administratorrechte auf Endpunkten haben. Die Reduzierung unnötiger Berechtigungen begrenzt den Schaden, wenn ein Exploit eingesetzt wird.

Was das für Sie bedeutet

Die Offenlegungen von YellowKey und GreenPlasma sind eine konkrete Erinnerung daran, dass kein einzelnes Sicherheitswerkzeug vollständigen Schutz bietet. Wenn Ihre gesamte Datensicherheitsstrategie auf BitLocker basiert, ist jetzt der richtige Zeitpunkt, den breiteren Sicherheits-Stack zu überprüfen. Überlegen Sie, was passiert, wenn BitLocker umgangen wird: Gibt es eine weitere Ebene, die Ihre sensibelsten Dateien schützt? Ist Ihr Netzwerkverkehr unabhängig von Ihrer Festplatte verschlüsselt? Werden Ihre Anmeldeinformationen und Wiederherstellungsschlüssel sicher gespeichert?

Proaktive Maßnahmen sind vor einem Vorfall wichtiger als danach. Überprüfen Sie Ihre aktuellen Sicherheitskontrollen, wenden Sie verfügbare Gegenmaßnahmen an und betrachten Sie diese Offenlegungen als Gelegenheit, die Ebenen zu stärken, die BitLocker allein nicht abdecken kann.