Microsoft waarschuwt voor YellowKey-lek dat BitLocker-encryptie omzeilt

In dit artikel:

Op 12 mei publiceerde een onderzoeker op GitHub een werkende proof‑of‑concept exploit die hij YellowKey noemde. De kwetsbaarheid (CVE‑2026‑45585) maakt het mogelijk om met fysieke toegang, een usb‑stick en een tijdens opstarten ingevoerde toetsencombinatie toegang te krijgen tot Windows‑machines die met BitLocker zijn versleuteld (Windows 11, Windows Server 2022 en Server 2025). Het lek zit niet in de encryptie zelf, maar in de herstelomgeving rond BitLocker, aldus het Nationaal Cyber Security Centrum.

Een dag na publicatie stelde de onderzoeker dat ook systemen met TPM plus pincode kwetsbaar zouden zijn; de gepubliceerde exploit werkt daar echter niet tegen en experts betwijfelen die bredere claim. Microsoft heeft een week na de PoC een beveiligingsbulletin uitgebracht en waarschuwt dat aanvallers misbruik kunnen maken; een definitieve patch ontbreekt nog. Er zijn wel tijdelijke mitigaties beschikbaar, waaronder het verplicht instellen van een BitLocker‑pincode.

Forensisch softwareontwikkelaar Elcomsoft (Oleg Afonin) zegt dat YellowKey veel aandacht trekt binnen cybersecurity en dat het voor forensisch onderzoekers waardevol kan zijn om eerder ontoegankelijke, met BitLocker beveiligde systemen te onderzoeken. Hij benadrukt dat onderzoekers eerst een image met een hardware write‑blocker moeten maken, omdat de exploit systeem‑bestanden wijzigt.