Microsoft waarschuwt voor een nieuwe kwetsbaarheid in Windows genaamd YellowKey waardoor de BitLocker-encryptie van systemen is te omzeilen. Het techbedrijf verwacht dat aanvallers misbruik van het lek zullen gaan maken. Volgens ontwikkelaar van forensische software Elcomsoft, is de kwetsbaarheid interessant voor forensisch onderzoekers die nu geen toegang tot met BitLocker versleutelde systemen kunnen krijgen.

Op 12 mei publiceerde een onderzoeker op GitHub een werkende proof-of-concept exploit voor de kwetsbaarheid, die hij de naam YellowKey gaf. Via de exploit kan een aanvaller met fysieke toegang tot een met BitLocker versleutelde Windows 11, Windows Server 2022 of Windows Server 2025 machine toegang tot het systeem krijgen. De enige vereiste is een usb-stick met de exploit en een toetsencombinatie die tijdens het opstarten moet worden ingevoerd. "De kwetsbaarheid zit niet in de encryptie zelf, maar in de herstelomgeving die BitLocker omringt", stelt het Nationaal Cyber Security Centrum (NCSC).

Een dag later meldde de onderzoeker dat ook BitLocker-systemen met TPM en pincode kwetsbaar zijn, maar de gepubliceerde exploit werkt niet tegen systemen die met een pincode zijn beveiligd. Experts twijfelen of BitLocker met een pincode inderdaad kwetsbaar is, zoals de onderzoeker claimt. Een week na de publicatie van de YellowKey-exploit is Microsoft nu met een beveiligingsbulletin over het probleem gekomen. Daarin waarschuwt het techbedrijf voor de kwetsbaarheid (CVE-2026-45585) en zegt aan een beveiligingsupdate te werken. Een patch is nog niet beschikbaar, wel verschillende tijdelijke mitigaties die organisaties en gebruikers kunnen doorvoeren, waaronder het instellen van een pincode.

Volgens Oleg Afonin, van forensische softwareontwikkelaar Elcomsoft, heeft het YellowKey-lek veel aandacht van de cybersecuritypers gekregen, maar bleef het binnen de forensische gemeenschap stil. Elcomsoft levert software waarmee onder andere opsporingsdiensten toegang tot systemen kunnen krijgen. Afonin stelt dat YellowKey forensisch onderzoekers kan helpen om toegang te krijgen tot systemen die nu op de plank liggen en eerder niet waren te onderzoeken omdat ze met BitLocker zijn versleuteld. Daarbij merkt hij op dat onderzoekers wel eerst een image van het systeem met een hardware write blocker moeten maken, omdat de exploit allerlei bestanden aanpast.