Microsoft hat eine Abschwächung für eine BitLocker Sicherheitslücke als bekannt als YellowKey (CVE-2026-45585) nachdem sein Konzepttest öffentlich ausgelaufen war und der koordinierte Offenlegungsprozess gebrochen wurde. Der Ausfall, mit einem CVSS-Score von 6.8, ermöglicht es einem Angreifer mit physischem Zugriff, besonders manipulierte Dateien ("FsTx") in einem USB-Laufwerk oder in der EFI-Partition zu verwenden, die Maschine in der Windows Recovery Environment (WinRE) neu zu starten und die Ausführung eines Dienstprogramms zu verursachen, das nach dem Forscher eine Shell mit uneingeschränktem Zugriff auf das von BitLocker verschlüsselte Volumen öffnet.
Es ist wichtig zu betonen, dass Dieser Angriff erfordert physischen Zugriff und die Fähigkeit, WinRE-Boot von externen Mitteln zu zwingen, die teilweise den Bedrohungsradius auf Gerätediebstahlszenarien, Zugriff auf Serverräume oder Umgebungen mit Laxity-Boot-Richtlinien begrenzt. Die Existenz eines öffentlichen PoC erhöht jedoch das operative Risiko: Gegner mit technischem Wissen und physischem Zugang können Verpflichtungstests automatisieren, ohne dass die Sicherheitslücke von Grund auf untersucht werden muss. Für zusätzliche technische Berichterstattung und journalistische Überwachung haben Abdeckungen wie BleepingComputer die Offenlegung und Antwort von Microsoft dokumentiert: BleepingComputer auf Gelb Schlüssel.
Microsoft hat eine modifizierte Minderung der WinRE beschrieben: Sie müssen das WinRE-Bild montieren, Ihre Registrierung Feig laden, die "autofstx.exe" Eingabe des Session Manager BootExecute-Wertes entfernen, die Feige speichern und herunterladen und das Bild auf dem Gerät rekompromise. Dadurch wird verhindert, dass das FsTx-Dienstprogramm beim Start von WinRE automatisch läuft. Darüber hinaus empfiehlt das Unternehmen, die BitLocker-Beschützer vor Nur TPM + PIN, so dass die Volumenentriegelung eine PIN im Boot benötigt und nicht nur vom TPM-Modul abhängt. Die offizielle Dokumentation von BitLocker in Microsoft kann helfen, diese Änderungen zu planen: BitLocker Dokumentation in Microsoft Docs.
Für Teams und Manager sind die praktischen Auswirkungen zweifach: Erstens muss eine Minderung in WinRE-Bildern angewendet und weit verbreitet werden; zweitens müssen Start-up-Politiken und physische Sicherheit überprüft werden. Durch den Wechsel auf TPM + PIN wird die Wirksamkeit von YellowKey drastisch reduziert, da selbst bei WinRE der Angreifer die Einheit nicht entschlüsseln kann, ohne die PIN kennen zu lernen. Microsoft beschreibt Optionen, um diese Anforderung von Intune oder Group Policies ("Erfordere zusätzliche Authentifizierung beim Start" und "Configure TPM startup PIN") aufzuzwingen.
Es ist nicht genug, nur auf der Software-Ebene abzumildern: Stärkung der physischen und Firmware-Kontrolle Es ist entscheidend. Ich empfehle das Deaktivieren des Bootes vor USB, wenn es nicht notwendig ist, zu schützen UEFI / BIOS Firmware mit Passwort, zwingen Secure Boot und registrieren, wer physischen Zugriff auf kritische Maschinen hat. Diese Maßnahmen verringern die Möglichkeiten für einen Angreifer, manipulierte Mittel einzufügen oder Server neu zu starten, um WinRE mit externen Mitteln zu invozieren.
Auf betrieblicher Ebene sollten Organisationen die Identifizierung und Kartierung von WinRE-Bildern, die von der Flotte verwendet werden, in den Bildverwaltungszyklus integrieren und die von Microsoft vorgeschlagene Modifikation automatisieren, um menschliche Fehler zu verhindern. Es ist auch angebracht, die Vorfallsantwortverfahren zu überprüfen: die Integrität von winpeshl.ini zu bestätigen und nach Zeichen zu suchen, dass unbefugte Gewinne in WinRE ausgeführt wurden. Für praktische BitLocker-Management-Führer und -Tools wie Management-bde und PowerShell bietet Microsoft-Dokumentation Befehle und Beispiele, um Protektoren zu ändern und sichere Startrichtlinien zu implementieren.
Schließlich ist der Ausgleich von Sicherheit und Betrieb grundlegend. TPM + PIN führt Reibung ein(PIN-Recovery, Benutzer-Support), so müssen Sie Support- und Recovery-Prozesse vorbereiten (Schlüsseldrehung, sichere Speicherung von Recovery-Informationen). Die technische Minderung sollte durch das Bewusstsein der Mitarbeiter, die physischen Kontrollen und regelmäßige Überprüfungen der Wiederherstellungsbilder begleitet werden, um in der Zukunft ähnliche Vektoren schnell zu schließen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...