Der "Zoff" zwischen einem Sicherheitsexperten, der sich Chaotic Eclipse oder Nightmare-Eclipse nennt, und Microsoft geht weiter. Er hat zum 12. Mai 2026 (pünktlich zum Patchday) wieder zwei 0-Day-Schwachstellen mit den Namen YellowKey (wirkt auf Bitlocker) und GreenPlasma (CTFMON EoP) öffentlich bekannt gemacht. Auch in Microsoft Teams ist eine Schwachstelle bekannt geworden, die Spoofing-Angriffe ermöglicht. Nach dem Patch ist also vor dem Patch und Microsoft sieht wieder alt aus.
Rückblick: Chaotic Eclipse ärgert sich über Microsoft
Der unbekannte Sicherheitsexperte Chaotic Eclipse (X-Handle @ChaoticEclipse0), auch unter dem Alias Nightmare-Eclipse auftretend, hatte Microsoft eine 0-day-Schwachstelle im Defender gemeldet. Microsoft gab aber die Rückmeldung erhalten, dass es keine Schwachstelle sei, die eine Bug-Bounty-Prämie rechtfertige.
Darauf hin hatte der verärgerte Sicherheitsexperte diese 0-day-Schwachstelle, die Windows und den Defender betrifft, zum 3. April 2026 samt Exploit veröffentlicht. Über die Schwachstelle konnten Angreifer sich Zugriff auf das System und Systemrechte verschaffen. Ich hatte im Blog-Beitrag BlueHammer: Windows 0-day-Schwachstelle berichtet.
Kurz darauf veröffentlichte der gleiche Sicherheitsexperte noch zwei weitere Schwachstellen, einmal RedSun samt 0-Day-Exploit, der jeder App auf einem Windows-System volle Systemadministratorrechte gewährt. Zudem wurde eine Schwachstelle mit Namen UnDefend zum Abschalten des Defenders offen gelegt. Ich hatte dies im RedSun: Nächste Windows Defender 0-Day-Schwachstelle aufgegriffen.
YellowKey und GreenPlasma-Schwachstellen
Die Nacht ist mir nachfolgender Tweet, der auf zwei neue, durch Chaotic Eclipse offen gelegte, 0-Day-Schwachstellen mit den Namen YellowKey und GreenPlasma hinweist, untergekommen.
Der Tweet fasst bereits die nachfolgend genannten, wichtigsten Kernpunkte bezüglich dieser auf X angekündigten Schwachstellen zusammen:
- YellowKey umgeht die BitLocker-Verschlüsselung unter Windows 11 und neueren Serverversionen, indem ein spezieller Ordner auf einen USB-Stick oder die EFI-Partition kopiert wird und anschließend durch Halten bestimmter Tasten beim Neustart vollständiger Zugriff auf das gesperrte Laufwerk erlangt wird.
- GreenPlasma ermöglicht Benutzern einen erweiterten Systemzugriff über eine CTFMON-Methode, die Windows 11 und einige Server betrifft. Hier hat man nur ein Teil des Codes als Herausforderung für andere Hacker veröffentlicht.
Die Erläuterungen von Chaotic Eclipse (aka Nightmare-Eclipse) finden sich in diesem Artikel, wobei er dort die obigen Links auf seine auf GitHub veröffentlichten Details angegeben hat. Den Defender habe er ausgelassen, weil er wisse, dass Microsoft "die Zügel anziehen wird", wenn er zu oft auf eine bestimmte Komponente abzielt.
Ziemlich angefressener Sicherheitsexperte
Chaotic Eclipse scheint ziemlich angefressen zu sein, schreibt er in seiner Offenlegung doch: "Microsoft hat sich dafür entschieden, die Situation noch schlimmer zu machen, anstatt sie wie Erwachsene zu lösen; sie haben jedes nur erdenkliche kindische Spielchen gespielt. Meine Geduld ist am Ende, ihr lasst alle anderen dafür büßen."
Offenbar war Microsofts Reaktion auf die BlueHammer-Veröffentlichung nicht so, wie Chaotic Eclipse das erwartet hat – er schreibt von "Öl ins Feuer gießen" und hofft, dass Microsoft dieses Mal zumindest versucht, die Situation verantwortungsbewusst zu lösen.
Die jüngsten Handlungen Microsofts hätten Chaotic Eclipse dazu gebracht, andere Unternehmen mit in die Thematik zu involvieren. Der nächste Patch Tuesday werde eine große Überraschung für Microsoft bereithalten, droht er.
Analyse zu YellowKey-BitLocker-Bypass
Mir ist die Nacht auf X dieser Tweet von impulsive (@weezerOSINT) untergekommen, der den YellowKey-BitLocker-Bypass per Reverse-Engineering analysiert hat. Der Sicherheitsforscher schreibt, dass Microsoft in jedem Windows-11-Wiederherstellungsimage (WinRE) Code eingebaut habe, der nach einem Flag namens FailRelock sucht. Ist dieses auf 1 gesetzt, wird das BitLocker-Laufwerk nach der Wiederherstellung zwar entsperrt, aber nie wieder gesperrt. Man braucht dazu lediglich einen USB-Stick.
Dieser Code existiert nur in der Wiederherstellungsumgebung, nicht im normalen Windows. Microsoft habe ein komplettes Debug-Test-Framework in der Produktionsumgebung belassen, schreibt der Verfasser des Tweets.
Auch Microsoft Teams mit Sicherheitslücke
Eine weitere, kürzlich bekannt gewordene, Sicherheitslücke in Microsoft Teams ermöglicht Hackern Spoofing-Angriffe. Die Schwachstelle offenbare eine kritische Schwäche im Design von Microsoft Teams, dass die Handhabung des Zugriffs auf Dateien und Verzeichnisse regelt, schreibt Cyber Security News. Dadurch können Angreifer potenziell vertrauenswürdige Elemente innerhalb der Anwendung manipulieren oder sich als diese ausgeben.
Im Kern rührt die Sicherheitslücke daher, dass Dateien oder Verzeichnisse in Microsoft Teams für externe Parteien zugänglich sind. Microsoft hat am 12. Mai 2026 die MS Teams Spoofing-Schwachstelle CVE-2026-32185 (CVSS 3.1 Score von 5.5) offen gelegt und gefixt.
Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
MVP: 2013 – 2016
Diese BitLocker-Geschichte klingt für mich wie eine bewusst platzierte Backdoor.
Der Gedanke drängt sich bei 'anschließend durch Halten bestimmter Tasten beim Neustart' geradezu auf. So ne Tastenabfrage erstellt sich ja nicht von selbst, das klingt nach ner Backdoor für Ermittlungsbehörden, die verschlüsselte Rechner beschlagnahmt hat.
Es ist eine Sache, Ermittlungsbehörden besondere Software zur Verfügung zu stellen. Diese Software aber ins Produkt einzubauen ist mMn höchst fahrlässig.
Fahrlässig?
Das ist wohl eher Vorsatz…
Und ein Grund mehr, dem Müll schnellstmöglich den Rücken zu kehren, wenn man halbwegs intelligent ist.