Nach einem Konflikt mit Microsoft hat der Sicherheitsforscher Chaotic Eclipse erneut mehrere Zero-Day-Exploits veröffentlicht. Bereits zuvor hatte er Lücken in Windows-Komponenten wie Windows Defender offengelegt und setzt seine Veröffentlichungen nun rund um den aktuellen Patchday fort.
Im Mittelpunkt steht der sogenannte „Yellowkey“-Exploit, der eine Schwachstelle in BitLocker ausnutzt. Die Lücke ermöglicht unter bestimmten Bedingungen den Zugriff auf verschlüsselte Laufwerke. Betroffen sind insbesondere Windows Server 2022 und 2025 sowie Windows 11, während Windows 10 offenbar nicht angreifbar ist. Für die Ausnutzung muss ein vorbereiteter USB-Stick verwendet und das System in die Windows-Wiederherstellungsumgebung gestartet werden, wodurch eine Shell mit Zugriff auf das geschützte Laufwerk erscheint.
Sicherheitsforscher bestätigten bereits die Funktionsfähigkeit des Exploits, weisen jedoch darauf hin, dass zusätzliche Schutzmaßnahmen wie eine BitLocker-PIN und ein BIOS-Passwort die Angriffsmöglichkeiten deutlich einschränken. Ein zweiter veröffentlichter Exploit mit dem Namen „Greenplasma“ soll zudem eine Rechteausweitung ermöglichen, ist jedoch unvollständig und in der aktuellen Form nicht funktionsfähig.
Der Forscher begründet die Veröffentlichungen mit Kritik an Microsoft und spricht von „Backdoors“ sowie mangelnder Transparenz. Microsoft selbst hat sich zu den konkreten Vorwürfen bislang nicht detailliert geäußert. Parallel kündigte Chaotic Eclipse bereits weitere Veröffentlichungen für kommende Patchdays an, was die Sicherheitslage im Windows-Umfeld zusätzlich unter Druck setzt.
Der Vorfall zeigt erneut, wie sensibel Verschlüsselungssysteme und Systemrechte im Windows-Umfeld sind. Datenschutz und IT-Sicherheit spielen auch hier eine zentrale Rolle und sollten daher beachtung finden.
Beratung und Audit zu ISO 27001, TISAX oder NIS-2 mit tec4net
https://www.tec4net.com/web/it-security/
Wir sind Experten für Datenschutz und IT-Sicherheit
Profitieren Sie von unserer umfassenden Beratung zu den Themen Datenschutz und IT-Sicherheit. Unser erfahrenes Team unterstützt Sie dabei, Ihre Website und digitalen Dienste datenschutzkonform zu gestalten um die gesetzlichen Vorgaben zu erfüllen.
Kontaktieren Sie uns noch heute und sichern Sie sich praxisnahe Beratung zur Umsetzung der DSGVO und Normen wie ISO 27001, PCI-DSS oder TISAX.
Datenschutz und IT-Sicherheit praktikabel umsetzen – tec4net GmbH
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com – www.it-sicherheit-muenchen.com
Alle unsere NEWS -> http://news.tec4net.com