Microsoft heeft oplossingen gedeeld voor YellowKey, een recent ontdekte kwetsbaarheid in Windows BitLocker die toegang verleent tot beveiligde schijven.

De beveiligingsfout werd vorige week onthuld door een anonieme onderzoeker, ‘Nightmare Eclipse,’ die het beschreef als een achterdeur en een proof-of-concept exploit publiceerde.

Volgens Nightmare Eclipse vereist exploitatie van deze kwetsbaarheid het plaatsen van speciaal vervaardigde ‘FsTx’-bestanden op een USB-stick of EFI-partitie, opnieuw opstarten in WinRE en dan een onbeperkte toegangsshell activeren door de CTRL-toets ingedrukt te houden.

Vorige maand onthulde deze onderzoeker ook de BlueHammer (CVE-2026-33825) en RedSun (geen ID) lokale privilege-escalatie kwetsbaarheden, die nu worden misbruikt in aanvallen.

Daarnaast lekte de onderzoeker GreenPlasma, een zero-day probleem voor privilege-escalatie dat aanvallers kunnen misbruiken om een SYSTEM-shell te verkrijgen, en UnDefend, een andere zero-day die updates van Microsoft Defender blokkeert voor gebruikers met standaardrechten.

Het is nog onduidelijk waarom deze serie lekken plaatsvond, maar Nightmare Eclipse gaf eerder aan dat deze onthullingen een protest zijn tegen de wijze waarop het Microsoft Security Response Center (MSRC) eerdere meldingen van zwakheden heeft behandeld.

Microsoft deelt oplossingen voor YellowKey

Op dinsdag kondigde Microsoft aan dat ze de YellowKey-kwetsbaarheid volgen onder CVE-2026-45585 en deelden ze maatregelen om aanvallen ermee te voorkomen.

“Microsoft is zich bewust van een beveiligingslek in Windows, publiekelijk bekend als ‘YellowKey’. Het proof-of-concept voor deze kwetsbaarheid is openbaar gemaakt in strijd met de best practices voor het gecoördineerd bekendmaken van kwetsbaarheden,” stelde Microsoft in een advies op dinsdag.

“We geven deze CVE uit om richtlijnen te bieden ter bescherming tegen deze kwetsbaarheid tot de beveiligingsupdate beschikbaar is.”

Om YellowKey-aanvallen te mitigeren, adviseerde Microsoft om de vermelding van autofstx.exe uit de BootExecute REG_MULTI_SZ waarde van de Session Manager te verwijderen, gevolgd door het herstellen van BitLocker-vertrouwen voor WinRE volgens de procedure onder “Mitigations” in het CVE-2026-33825 advies.

“Specifiek voorkom je dat de FsTx Auto Recovery Utility, autofstx.exe, automatisch start wanneer het WinRE-image wordt geladen,” legde Will Dormann, hoofd beveiligingsanalist bij Tharros, uit. “Met deze wijziging wordt de Transactional NTFS-herhaling die winpeshl.ini verwijdert, niet meer uitgevoerd.”

Microsoft raadde klanten ook aan om BitLocker op al versleutelde apparaten van “TPM-only” naar “TPM+PIN” modus te configureren via PowerShell, de opdrachtregel of het configuratiescherm. Dit vereist een pre-boot PIN om de schijf bij het opstarten te ontgrendelen en zou YellowKey-aanvallen moeten blokkeren.

Op apparaten die nog niet zijn versleuteld, kunnen beheerders de optie “Vereis aanvullende authenticatie bij opstarten” inschakelen via Microsoft Intune of Groepsbeleid, en ervoor zorgen dat “Configureer TPM-opstart PIN” is ingesteld op “Vereis opstart PIN met TPM”.