# YellowKey – Kritieke BitLocker-bypass actief misbruikt

YellowKey | CVE | CVE-2026-45585 | | Getroffen systemen | Windows 11, Server 2022 & 2025 | | Vereiste toegang | Fysiek (USB-stick) | | Patch beschikbaar | Nee – mitigaties wel |

Microsoft waarschuwt voor een kritieke kwetsbaarheid in Windows 11 waarmee aanvallers BitLocker-encryptie volledig kunnen omzeilen met niets meer dan een USB-stick. Een patch is nog niet beschikbaar.


Overzicht

Kenmerk Details
CVE CVE-2026-45585
Getroffen systemen Windows 11, Server 2022 & 2025
Vereiste toegang Fysiek (USB-stick)
Patch beschikbaar Nee – mitigaties wel

Wat is YellowKey?

Op 12 mei 2026 publiceerde beveiligingsonderzoeker "Nightmare-Eclipse" een werkende proof-of-concept exploit op GitHub die de volledige BitLocker-encryptie van Windows 11-systemen omzeilt – met niets meer dan een USB-stick en een toetsencombinatie. De exploit heeft inmiddels meer dan 1.700 GitHub-sterren en bijna 400 forks verzameld, wat aangeeft hoe snel de beveiligingsgemeenschap de ernst heeft opgepikt.

Wat dit bijzonder alarmerend maakt: de exploit richt zich niet op de encryptie zelf, maar op een kwetsbaarheid in de Windows Recovery Environment (WinRE) die BitLocker omringt. Zoals het NCSC stelt, zit het lek niet in de versleuteling, maar in de herstelomgeving eromheen.


Hoe werkt het?

De aanval vereist fysieke toegang tot het doelwit, maar is daarna verrassend eenvoudig uit te voeren:

  1. De aanvaller kopieert een speciaal map (FsTx) naar de System Volume Information-map op een USB-stick (NTFS of FAT32 werkt beide).
  2. De USB-stick wordt in het doelwit gestoken – een met BitLocker versleuteld Windows 11-systeem of server.
  3. De machine wordt herstart naar de Windows Recovery Environment via Shift+Herstart.
  4. Door tijdens het opstarten Ctrl ingedrukt te houden, verschijnt er een shell met onbeperkte toegang tot het BitLocker-beschermde volume.

De onderzoeker merkt daarbij op dat de exploit zo eenvoudig is dat een aanvaller zelfs zonder USB-stick kan werken: de exploit-bestanden kunnen direct in de EFI-partitie van de schijf worden geplaatst, de schijf teruggeplaatst, en de aanval werkt nog steeds.


TPM + pincode: wel of niet kwetsbaar?

De onderzoeker claimde een dag na de initiële publicatie dat ook BitLocker-systemen beveiligd met TPM én een pincode kwetsbaar zouden zijn. De gepubliceerde exploit werkt hier echter niet tegen. Experts in de beveiligingsgemeenschap twijfelen aan deze claim; dit wordt nader onderzocht.

Opvallend is de theorie van de onderzoeker over de oorsprong: het verdachte component dat de kwetsbaarheid veroorzaakt bestaat alleen in de WinRE-image en heeft dezelfde naam als een component in normale Windows-installaties, maar dan zonder de trigger-functionaliteit. Alleen Windows 11 en Server 2022/2025 zijn getroffen – Windows 10 niet. Of dit op een bewuste backdoor wijst of op een ontwikkelingsfout is op dit moment onbekend.


Aanbevolen maatregelen

Zolang Microsoft geen patch uitbrengt, adviseert OrangeGuard de volgende mitigaties direct door te voeren:

1. BitLocker pincode instellen

Stel een pre-boot pincode in voor alle BitLocker-volumes. Dit is de meest directe en effectieve maatregel tegen de huidige exploit.

2. USB-boot uitschakelen

Schakel USB-boot uit in de BIOS/UEFI-instellingen en stel een BIOS-wachtwoord in om ongeautoriseerde wijzigingen te voorkomen.

3. Fysieke beveiliging aanscherpen

Zorg dat servers en werkstations fysiek niet toegankelijk zijn voor onbevoegden. De exploit vereist fysieke aanwezigheid bij het apparaat.

4. Patch management gereedmaken

Volg Microsoft's beveiligingsbulletin (CVE-2026-45585) actief op en installeer de patch zodra deze beschikbaar is.

Voor organisaties die het mitigatieproces willen automatiseren: een community-script dat de officiële Microsoft-instructies uit het CVE-bulletin uitvoert is beschikbaar via GitHub (bjbakker1984/Yellowkey-mitigation).


Bronnen


Heeft u vragen over de impact van YellowKey op uw organisatie, of wilt u hulp bij het doorvoeren van de aanbevolen maatregelen? Neem contact op met het OrangeGuard Security Team.

Tags: BitLocker · Windows 11 · CVE-2026-45585 · Encryptie · Endpoint Security · WinRE