Notebookcheck Logo

Microsoft beperkt YellowKey BitLocker omzeiling, nog geen patch

Figuur met capuchon bij een opstelling met meerdere schermen die een cyberaanval uitvoeren.
ⓘ Magnific.com/author/dcstudio
Figuur met capuchon bij een opstelling met meerdere schermen die een cyberaanval uitvoeren.
Microsoft heeft mitigatiestappen vrijgegeven voor YellowKey (CVE-2026-45585), een BitLocker-bypass die fysieke aanvallers toegang geeft tot versleutelde Windows-schijven.
Windows Software Security Microsoft Laptop / Notebook Desktop

Microsoft heeft richtlijnen vrijgegeven voor de beperking van YellowKey, de openbaar gemaakte omzeiling van BitLocker die nu wordt getraceerd als CVE-2026-45585, nadat een werkend proof of concept was gepubliceerd zonder gecoördineerde openbaarmaking. Er is nog geen volledige beveiligingsupdate beschikbaar. Het bedrijf bevestigde dat het werkt aan een permanente oplossing en dringt er bij beheerders van getroffen Windows-versies op aan om de tijdelijke stappen onmiddellijk toe te passen.

Wat de beperking doet

De exploit werkt door winpeshl.ini te verwijderen via Transactional NTFS (TxF)waardoor de WinRE-herstelomgeving een onbeperkte shell start in plaats van de standaard herstelinterface te laden. Van daaruit krijgt een aanvaller met fysieke toegang volledig, onversleuteld zicht op de inhoud van de schijf, waarvoor geen referenties, software-installatie of netwerkverbinding nodig is.

Microsoft pakt het probleem aan door autofstx.exe, het FsTx Auto Recovery Utility, binnen de WinRE-image uit te schakelen. Beheerders moeten de WinRE-image op elk betrokken apparaat aankoppelen, de registerhive van het systeem laden en het item autofstx.exe verwijderen uit de BootExecute-waarde van Session Manager. Microsoft raadt ook aan om apparaten met een hoog risico te verplaatsen van TPM-only BitLocker naar TPM+PIN-modus, waardoor fysieke uitbuiting veel moeilijker wordt.

Dit is een workaround, geen patch. Microsoft heeft niet bevestigd wanneer er een volledige update komt. Tot die tijd is elke machine met een getroffen Windows-versie met een USB-poort en de mogelijkheid om opnieuw op te starten in herstelmodus een goed doelwit voor iedereen die in het bezit is van de openbaar beschikbare exploitcode.

Betroffen systemen en wat beheerders nu moeten doen

CVE-2026-45585 heeft een CVSS-score van 6,8 en vereist fysieke toegang, maar Microsoft beoordeelt exploitatie als "Meer waarschijnlijk" omdat het proof of concept al openbaar is. De advisory van Microsoft richt zich op Windows 11 24H2, 25H2 en 26H1 op x64-systemen, samen met Windows Server 2025 en Windows Server 2025 Server Core. Windows 10 ondervindt geen problemen vanwege verschillen in de WinRE-configuratie. Openbare technische analyses markeren ook Windows Server 2022 als mogelijk kwetsbaar onder specifieke implementatieomstandigheden via hetzelfde WinRE-fout in het herstelpad, hoewel Microsoft dit nog niet formeel in zijn advies heeft behandeld.

De onderzoeker achter de exploit, bekend onder de naam Nightmare-Eclipse, heeft deze openbaar gemaakt voordat Microsoft enige richtlijnen had gepubliceerd. Microsoft noemde het incident een schending van gecoördineerde praktijken voor het openbaar maken van kwetsbaarheden.

Google LogoAdd as a preferred source on Google
Mail Logo

Gelijkaardige Artikels

> Overzichten en testrapporten over laptops en mobieltjes > Nieuws > Nieuws Archief > Nieuws archieven 2026 05 > Microsoft beperkt YellowKey BitLocker omzeiling, nog geen patch
Darryl Linington, 2026-05-21 (Update: 2026-05-21)