BitLocker-Exploit gefährdet Windows 11 – Notfall-Patch fehlt

Sicherheitsforscher haben zwei kritische Zero-Day-Lücken im Windows-Ökosystem aufgedeckt – nur zwei Tage nach Microsofts größtem Patch-Day des Jahres. Die als „YellowKey“ getaufte Schwachstelle umgeht die BitLocker-Verschlüsselung auf Windows 11 und aktuellen Server-Editionen in Sekundenschnelle.

BitLocker ausgehebelt: Physischer Zugriff genügt

Der Exploit ermöglicht Angreifern mit physischem Zugriff auf ein Gerät, die standardmäßige Festplattenverschlüsselung zu umgehen. Über einen speziellen USB-Interface nutzt YellowKey einen Trick mit dem Transactional-NTFS-Dateisystem und einem manipulierten FsTx-Ordner. Entdeckt wurde die Lücke vom Forscher „Nightmare-Eclipse“, bestätigt von den Branchenexperten Kevin Beaumont und Will Dormann.

Die aktuelle Bedrohungslage durch Zero-Day-Lücken zeigt, wie verwundbar selbst Standard-Verschlüsselungen für Unternehmen sein können. Dieses kostenlose E-Book liefert fundierte Informationen zu aktuellen Cyberbedrohungen und zeigt praxisnahe Schutzmaßnahmen auf, um Ihren Betrieb langfristig abzusichern. Cyber-Security-Ratgeber für Unternehmen jetzt kostenlos anfordern

Besonders brisant: Der Angriff dauert nur Sekunden. Für mobile Arbeitsplätze und Server-Hardware außerhalb gesicherter Räume ist das eine ernste Bedrohung. Parallel dazu wurde mit „GreenPlasma“ eine zweite Zero-Day-Lücke veröffentlicht, die über den CTFMON-Dienst eine Rechteausweitung ermöglicht. Windows 10 scheint von beiden Exploits nicht betroffen zu sein.

Microsoft prüft die Vorfälle nach eigenen Angaben, ein offizieller Patch liegt bislang nicht vor. Als Übergangslösung empfehlen Sicherheitsexperten BitLocker-PINs und BIOS-Passwörter.

Rekord-Patch-Day mit 138 Korrekturen

Der Mai-Patch-Day am 12. Mai war der umfangreichste des Jahres: 138 Schwachstellen wurden geschlossen, davon 30 als kritisch eingestuft. Bereits jetzt haben die ersten fünf Monate 2026 die Marke von 500 gepatchten Lücken überschritten – ein Trend, den Analysten auch auf den verstärkten KI-Einsatz bei der Bedrohungserkennung zurückführen. Allein 16 der Mai-Korrekturen gehen auf das KI-System MDASH zurück.

Besonders hohe Risikobewertungen erhielten:

• CVE-2026-41096 (9,8): Heap-Buffer-Overflow im Windows-DNS-Client
• CVE-2026-41089 (9,8): Stack-Buffer-Overflow in Netlogon – potenziell selbstvermehrend
• CVE-2026-42826 (10,0): Kritische Lücke in Azure DevOps

Zusätzlich warnte Microsoft vor auslaufenden Secure-Boot-Zertifikaten am 26. Juni 2026. Ohne rechtzeitiges Update könnten Systeme den Boot-Vorgang verweigern.

Geheimdienste im Netz: Russische und chinesische Gruppen aktiv

Die neuen Exploits fallen in eine phase verstärkter staatlicher Cyberaktivitäten. Die russische APT-Gruppe Secret Blizzard (FSB Center 16) hat ihre Kazuar-Malware zu einem P2P-Botnetz ausgebaut. Das modulare System mit Kernel-, Bridge- und Worker-Komponenten dient der Spionage gegen Regierungs- und Verteidigungseinrichtungen in Europa und Zentralasien.

Chinesische Gruppen bleiben ebenfalls aktiv: Salt Typhoon drang zwischen Dezember 2025 und Februar 2026 in ein aserbaidschanisches Öl- und Gasunternehmen ein. Twill Typhoon zielt seit September 2025 auf den asiatisch-pazifischen Raum ab und hat sein FDMTP-Fernzugriffs-Trojaner-Framework im April 2026 aktualisiert. Die Gruppe tarnt ihren Datenverkehr als legitime Content-Delivery-Netzwerke von Yahoo und Apple.

Aktiv ausgenutzt wird zudem eine Spoofing-Lücke in Outlook Web Access (CVE-2026-42897), die Exchange Server 2016, 2019 und SE betrifft. Exchange Online ist nicht verwundbar.

442 Milliarden Euro Schaden: Explosion der Handy-Kriminalität

Parallel zu den technischen Exploits steigt die mobile Cyberkriminalität dramatisch. Die weltweiten Verluste durch Handy-Betrug haben 2026 bereits 442 Milliarden Euro erreicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer neuen Masche: Kriminelle tarnen Malware-Installationen als Captcha-Test. Opfer werden aufgefordert, die Tastenkombination Windows+R und anschließend Strg+V auszuführen – und installieren so unbemerkt Schadsoftware.

Quishing – Phishing über QR-Codes – verzeichnet einen Anstieg von 150 Prozent. Rund 18 Millionen Fälle wurden allein im ersten Quartal 2026 registriert. Der Banking-Trojaner TCLBANKER zielt derzeit auf 59 verschiedene Plattformen ab.

Das BSI stellte am 15. Mai fest: 88 Prozent der Opfer mobiler Cyberkriminalität erleiden direkte finanzielle Schäden. Ein Urteil des Landgerichts Berlin II könnte die Rechtslage verschärfen: Demnach haften Banken für Phishing-Schäden, es sei denn, sie können grobe Fahrlässigkeit des Kunden nachweisen.

Angesichts der explodierenden Schäden durch mobile Cyberkriminalität riskieren Nutzer ohne gezielten Schutz massive finanzielle Verluste. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Smartphone in wenigen Minuten gegen Hacker und Datenmissbrauch absichern. 5 Schutzmaßnahmen für Ihr Smartphone jetzt entdecken

Zwei-Faktor-Authentifizierung wird Pflicht

Als Reaktion auf die Bedrohungslage verschärfen Dienstleister ihre Sicherheitsanforderungen. Die Roswell Credit Union führt zum 28. Mai 2026 die Zwei-Faktor-Authentifizierung für das gesamte Online-Banking ein. Auch WhatsApp arbeitet an einem optionalen Passwort-Feature, das über die herkömmliche SMS-Verifikation hinausgeht.

Ausblick: Das Zeitfenster wird kleiner

Die YellowKey-Lücke zeigt die Grenzen softwarebasierter Verschlüsselung bei physischem Zugriff drastisch auf. Jahrelang galt BitLocker als Standard für den Unternehmenseinsatz – nun steht eine grundlegende Neubewertung an. Branchen mit vielen mobilen Mitarbeitern oder Außenserver-Standorten sind besonders betroffen.

Die Beschleunigung des Patch-Zyklus durch KI ist ein zweischneidiges Schwert: Finden die Guten mehr Lücken, entdecken die Bösen parallel dazu jene Schwachstellen, die durchs Raster fallen. Die 138 Patches vom Dienstag und die Zero-Days vom Donnerstag zeigen: Das Sicherheitsfenster für Administratoren wird nicht größer.

Bis zum endgültigen Fix für YellowKey und GreenPlasma dürften die kommenden Wochen von Übergangslösungen geprägt sein. Die Branche erwartet einen Schub für hardwarenahe Sicherheit – BIOS-Passwörter und die Abschaltung veralteter Dienste wie CTFMON stehen ganz oben auf der Agenda.

de | wissenschaft | 69341238 |