Microsoft heeft een script gepubliceerd dat als een tijdelijke oplossing moet dienen voor een kwetsbaarheid in Windows Bitlocker, waardoor een aanvaller met fysieke toegang tot een systeem de versleuteling kan omzeilen. Wanneer er een beveiligingsupdate voor de kwetsbaarheid (CVE-2026-45585) komt, die de naam YellowKey heeft, is nog niet bekend. Wel zegt Microsoft hiermee bezig te zijn.

Via de YellowKey-exploit kan een aanvaller met fysieke toegang tot een met BitLocker versleutelde Windows 11, Windows Server 2022 of Windows Server 2025 machine toegang tot het systeem krijgen. De enige vereiste is een usb-stick met de exploit en een toetsencombinatie die tijdens het opstarten moet worden ingevoerd. De kwetsbaarheid werd op 12 mei openbaar gemaakt. Microsoft kwam op 19 mei met een reactie in de vorm van een beveiligingsbulletin.

Het bulletin bevatte in eerste instantie verschillende mitigatiemaatregelen die gebruikers en beheerders handmatig moesten doorvoeren. Volgens beveiligingsonderzoeker Kevin Beaumont waren de door Microsoft genoemde mitigaties te ingewikkeld om daadwerkelijk door te voeren. De onderzoeker adviseert het gebruik van BitLocker in combinatie met een pincode en het instellen van een BIOS-wachtwoord.

Gisteren heeft Microsoft het beveiligingsbulletin van een script voorzien dat gebruikers kunnen kopiëren en plakken en bescherming tegen het YellowKey-lek moet bieden. Gebruikers en beheerders die het script uitvoeren kunnen straks gewoon de update installeren. De mitigaties hoeven niet eerst ongedaan te worden gemaakt.