Direkt zum Inhalt
UCC Pro GmbH Logo
Search
Kontakt

YellowKey: Wenn BitLocker aufschliesst und der Defender selbst zur Lücke wird

Update-Hygiene: Smartphone, Computer, Router und Smart-Home im Update-Status

Der Firmenlaptop verschwindet aus dem Auto, aus dem Zugabteil, aus dem Hotelzimmer. Ärgerlich, aber kein Drama — BitLocker ist ja drauf, das Laufwerk verschlüsselt, die Daten sicher. So lautet die Standardrechnung in den meisten KMU. Seit dem Mai-Patchday geht diese Rechnung nicht mehr auf: Eine Lücke namens «YellowKey» erlaubt es Unbefugten, BitLocker-verschlüsselte Laufwerke relativ einfach zu entsperren. Ganz ohne Passwort, ganz ohne Brachialgewalt gegen die Kryptografie.

Und als wäre das nicht genug, stehen gleichzeitig drei Schwachstellen im Microsoft Defender im Raum — ausgerechnet in der Komponente, die Deine Systeme schützen soll.

YellowKey: Die Hintertür im Wiederherstellungsmodus

Die BitLocker-Lücke CVE-2026-45585 (CVSS 6.8) sitzt nicht in der Verschlüsselung selbst, sondern im Drumherum: Über die Windows-Wiederherstellungsumgebung (WinRE) lässt sich ein verschlüsseltes Laufwerk entsperren, wenn der Angreifer physischen Zugriff auf das Gerät hat. Genau das Szenario also, gegen das BitLocker eigentlich antritt — der gestohlene oder verlorene Laptop.

Zwei Massnahmen schliessen das Loch:

  • Registrierungs-Eintrag entfernen. Der Eintrag für autofstx.exe in der WinRE-Registrierung muss raus. Das unterbindet den Mechanismus, über den die Entsperrung läuft.
  • BitLocker-PIN setzen. Eine Pre-Boot-PIN sorgt dafür, dass das Laufwerk gar nicht erst entsperrt wird, bevor jemand am Gerät sitzt, der die PIN kennt. Das ist die robustere der beiden Massnahmen — und sie hilft auch gegen die nächste Lücke dieser Art.

Defender: Drei Lücken im Wächter selbst

Parallel dazu hat Microsoft drei Schwachstellen im Defender gemeldet:

  • Rechteausweitung. CVE-2026-41091 (CVSS 7.8) erlaubt es Angreifern, über eine fehlerhafte Link-Auflösung ihre Rechte auf dem System auszuweiten.
  • Schadcode aus der Ferne. CVE-2026-45584 (CVSS 8.1) ermöglicht das Einschleusen von Code — Angriffe darauf wurden bislang nicht beobachtet, aber die Tür steht offen.
  • Lahmlegen des Schutzes. CVE-2026-45498 erlaubt einen Denial-of-Service gegen den Defender. Ein Virenschutz, der nicht läuft, schützt bekanntlich hervorragend.

Die gute Nachricht: Alle drei Lücken werden automatisch über die Signaturupdates geschlossen. Ab Malware Protection Engine 1.1.26040.8 und Antimalware Platform 4.18.26040.7 bist Du sauber. Prüfen lohnt sich trotzdem — gerade auf Maschinen, die selten online sind oder deren Updates über eine zentrale Verteilung laufen, die mal hakt.

CISA: Angreifer lieben Altbestand

Fast schon ein Treppenwitz am Rande: Die US-Cybersicherheitsbehörde CISA warnt zeitgleich vor sieben aktiv angegriffenen Schwachstellen — darunter CVE-2008-4250, ein Pufferüberlauf im Windows Server Service mit CVSS 9.8. Die Lücke ist 18 Jahre alt. Mit dabei auch Uralt-Lücken in DirectX, im Internet Explorer und im Adobe Reader 7 bis 9. Dass diese CVEs im Jahr 2026 auf einer Liste aktiv attackierter Schwachstellen auftauchen, heisst im Klartext: Da draussen laufen noch genug ungepatchte Systeme, dass sich der Angriff lohnt.

Was bleibt im Kopf

Verlass Dich nicht darauf, dass Deine Schutzkomponenten sich selbst schützen. Der Defender kann angegriffen werden, BitLocker kann umgangen werden — beides sind Werkzeuge, keine Garantien. Die BitLocker-PIN auf den Firmenlaptops zu erzwingen ist zehn Minuten Arbeit in der Gruppenrichtlinie. Der gestohlene Laptop mit offenliegenden Kundendaten kostet Dich deutlich mehr. Und wer jetzt noch Systeme mit 18 Jahre alten Lücken im Netz hat, braucht keinen Angreifer mehr — der braucht einen Plan.

Quelle: heise online, «Attackierte MS-Defender-Lücken und BitLocker-Schutzmassnahmen» vom 21. Mai 2026 — heise.de.

Brauchst Du Beratung dazu?

Schreib uns kurz, was bei Dir konkret ansteht. Wir melden uns persönlich zurück.

Kontakt aufnehmen
Nach oben scrollen