Sicherheitslücke: Zero-Day-Exploit umgeht BitLocker-Verschlüsselung in Windows 11

Neuer Zero-Day-Exploit umgeht BitLocker in Windows 11

Ein kürzlich veröffentlichter Zero-Day-Exploit namens YellowKey ermöglicht es Angreifern mit physischem Zugriff auf ein Windows-11-System, die standardmäßige BitLocker-Verschlüsselung innerhalb von Sekunden zu umgehen. Dadurch erhalten sie vollständigen Zugriff auf verschlüsselte Laufwerke, ohne den Entschlüsselungsschlüssel zu benötigen.

Der Exploit wurde von einem Sicherheitsforscher mit dem Pseudonym Nightmare-Eclipse veröffentlicht. Laut dessen Angaben funktioniert YellowKey zuverlässig auf allen Standard-Installationen von Windows 11, die BitLocker nutzen. Dies betrifft insbesondere Unternehmen und Behörden, für die BitLocker eine vorgeschriebene Sicherheitsmaßnahme ist – etwa bei Verträgen mit Regierungsstellen.

Wie der YellowKey-Exploit funktioniert

Der Kern des Exploits basiert auf einem speziell erstellten Verzeichnis namens FsTx, das eine manipulierte Version der Datei fstx.dll enthält. Diese Datei ist mit der von Microsoft bereitgestellten Transactional NTFS (TxF)-Technologie verknüpft, die Entwicklern atomare Transaktionen für Dateioperationen ermöglicht – selbst über mehrere Quellen hinweg.

Durch die Ausnutzung dieser Schwachstelle können Angreifer die BitLocker-Verschlüsselung umgehen, indem sie gezielt auf die Transaktionsmechanismen des Dateisystems zugreifen. Dies führt dazu, dass die Verschlüsselungsschutzmechanismen deaktiviert werden, ohne dass der Angreifer den TPM-Schlüssel (Trusted Platform Module) benötigt.

Risiko für Unternehmen und Behörden

BitLocker gilt als eine der sichersten Verschlüsselungslösungen für Windows-Systeme und ist in vielen Organisationen, insbesondere in sensiblen Bereichen wie Regierung, Militär oder kritischen Infrastrukturen, zwingend vorgeschrieben. Der YellowKey-Exploit stellt daher eine ernsthafte Bedrohung dar, da er selbst hochsensible Daten gefährden könnte.

Microsoft hat bisher keine offizielle Stellungnahme zu dem Exploit veröffentlicht. Es wird jedoch dringend empfohlen, zusätzliche Sicherheitsmaßnahmen zu ergreifen, um das Risiko eines Angriffs zu minimieren. Dazu gehören:

• Deaktivierung der TxF-Funktionalität, falls nicht benötigt;
• Implementierung zusätzlicher Verschlüsselungslösungen;
• Regelmäßige Überprüfung der Systeme auf ungewöhnliche Aktivitäten;
• Verwendung von Hardware-basierten Sicherheitslösungen wie TPM 2.0 in Kombination mit BitLocker.

Empfehlungen für betroffene Nutzer

Betroffene Nutzer sollten umgehend prüfen, ob ihr System für den Exploit anfällig ist. Da der Angriff physischen Zugriff voraussetzt, ist die Gefahr für Remote-Systeme geringer. Dennoch sollten Unternehmen und Behörden ihre Sicherheitsrichtlinien überarbeiten und sicherstellen, dass physische Zugriffe auf Systeme streng kontrolliert werden.

Sollte der Exploit in der Praxis genutzt werden, könnte dies weitreichende Konsequenzen für die Datensicherheit haben. Experten raten dazu, die Entwicklungen genau zu verfolgen und auf Updates von Microsoft zu warten.

„Der YellowKey-Exploit zeigt einmal mehr, wie wichtig es ist, Sicherheitslücken schnell zu schließen und Systeme regelmäßig zu aktualisieren.“ – Sicherheitsforscher Nightmare-Eclipse