Windows-Bitlocker-Splitter: Patches, YellowKeys-CVE, Mitigations und Ungereimtheiten – Teil 1

Veröffentlicht am 22. Mai 2026 von Günter Born

WindowsMicrosoft hatte zum 12. Mai 2026 auch die Bitlocker-Funktion bei den Sicherheitsupdates mit Fixes bedacht. Sollten die Nachfrage des Bitlocker-Keys bei Neustarts unterbinden – hat aber wohl nicht ganz gereicht. Dann gab es noch Bitlocker 0-Day-Schwachstellen, auf die Microsoft zumindest durch Vergabe eines CVEs und Hinweisen zur Mitigation reagiert hat.

Mai 2026-Patches sollen Bitlocker-Abfrage verhindern

In den Windows-Sicherheitsupdates von Mai 2026 sollte auch ein Problem mit Bitlocker-Abfragen beim Booten behoben sein.

April 2026-Update triggert Bitlocker-Abfragen

Mit den Sicherheitsupdates KB5083769 und KB5082052  für Windows 11, die am 14. April 2026 veröffentlicht wurden, traten BitLocker-Probleme auf. Microsoft hatte dies  im Nachgang zum Patchday in den betreffenden Supportbeiträgen bestätigt.

Devices with an unrecommended BitLocker Group Policy configuration might be required to enter their BitLocker recovery key

Die Abfrage des BitLocker Recovery-Keys tritt aber nur in bestimmten, nicht standardmäßig vorhandenen Konstellationen auf. Ich hatte das im Blog-Beitrag Windows 11 April 2026-Updates (KB5083769, KB5082052) triggern BitLocker Recovery aufgegriffen.

Bitlocker-Recovery-Key-Abfrage behoben?

Dieses obige Problem wurde mit den Mai 2026-Updates angegangen. In den Supportbeiträgen zu den Sicherheitsupdates vom 12. Mai 2026 (siehe Patchday: Windows 10/11 Updates (12. Mai 2026)) gibt es auch den Hinweis, dass Bitlocker-Nachfragen nach Installation der April 2026-Updates gefixt seien. Nachfolgend ein Auszug aus der Supportseite des kumulativen Update KB5089549 für Windows 11 24H2-25H2 zum Abschnitt [Boot manager servicing update].

  • This update improves startup reliability after boot file updates, so devices start normally without entering BitLocker recovery.
  • (Known issue) Fixed: This update addresses an issue where some devices might enter BitLocker Recovery after updating boot files on systems with certain Trusted Platform Module (TPM) validation settings, including invalid PCR7 (Platform Configuration Register 7) configurations. This might occur after installing the April 2026 security update (KB5083769).

Die Bitlocker-Wiederherstellungskey-Nachfrage sollte also weg sein. Das hatte Windows Latest zum Artikel Microsoft confirms Windows 11 no longer triggers BitLocker recovery screen after monthly updates verleitet.

Leserbericht #1 zu Bitlocker-Problem auf Lenovo-Geräten

Leider scheint mir Microsoft zu kurz gesprungen. Zumindest diesen Kommentar hier im Blog interpretiere ich so, dass es Probleme gibt. Der Leser schreibt, dass deren IT seit dem Mai-Update 2026 Probleme auf den verwendeten Lenovo X12 Detachable Geräten mit aktiviertem BitLocker Network Unlock "sehen".

Die Geräte bleiben beim normalen Bootvorgang ohne Firmennetzwerk bereits im Lenovo-Logo hängen. Drückt man während des Starts ESC, erscheint anschließend die normale BitLocker-Abfrage und Windows startet danach ohne weitere Probleme, schreibt der Leser. Ohne ESC bleibt das Gerät reproduzierbar im Lenovo-Screen hängen.

Betroffen sind ausschließlich Lenovo X12 Windows 11 Geräte mit TPM, Secure Boot, BitLocker und Network Unlock. Vor den aktuellen Updates trat das Verhalten nicht auf.

Leserbericht #2 zu Bitlocker-Problem auf Lenovo-Geräten

Blog-Leser Stefan K. hat mich zum 20. Mai 2026 per Mail kontaktiert und schrieb zum Update KB5089549: "da ich deinen Blog selbst gern lese, möchte ich dir auf diesem Wege einen möglichen Bug nach der Installation des oben genannten KBs zukommen lassen."

Nach der Installation des Update KB5089549 unter Windows 11 25H2 bleibt der Bildschirm bei der Bitlocker PBA (Pre-Boot-Authentification) schwarz. Nach dem Drücken der Enter-Taste erscheint die normale graphische Bitlocker PBA. Betroffen sind alle Lenovo Notebooks E15 G2, E15 G4, E16 G2, E16 G4, L16 G2, x1 Carbon G13, etc. Da gibt es also ein Problem.

Bitlocker ausgehebelt: Zwei Fälle aus dem Blog

Dann gibt es noch die zwei Fälle, hier im Blog beschrieben, die sich mit der Umgehung von Bitlocker befassen.

Windows 11 und der Bitlocker-Downgrade-Angriff

Microsoft hatte im Juli 2025 Sicherheitsupdates für Windows freigegeben, um eine Bitlocker-Schwachstelle zu schließen, die eine Bitlocker-Downgrade-Attacke ermöglicht. Das Ganze hängt mit den PCA 2011-Zertifikaten zusammen und erfordert Zugriff auf das lokale System. Ich hatte dies im Blog-Beitrag BitUnlocker-Downgrade-Angriff auf Windows 11 möglich aufgegriffen und Leser haben dazu auch Kommentare mit Anmerkungen geliefert.

YellowKey-Bitlocker-Schwachstelle gepatcht

Ich hatte im Blog-Beitrag Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams über eine Schwachstelle in Bitlocker berichtet. Ein Sicherheitsforscher deckte auf, dass Microsoft in jedem Windows-11-Wiederherstellungsimage (WinRE) Code eingebaut habe, der nach einem Flag namens FailRelock sucht. Ist dieses auf 1 gesetzt, wird das BitLocker-Laufwerk nach der Wiederherstellung zwar entsperrt, aber nie wieder gesperrt.

Man braucht dazu lediglich einen USB-Stick. Dieser Code existiert nur in der Wiederherstellungsumgebung, nicht im normalen Windows. Microsoft habe ein komplettes Debug-Test-Framework in der Produktionsumgebung belassen, schreibt der Entdecker. Hat auch hier im Blog zu einigen Kommentaren geführt

Microsoft hat dann zum 19. Mai 2026 einen Sicherheitshinweis zur YellowKey-Schwachstelle CVE-2026-45585 (CVSS 3.1 Base-Score 6.8) veröffentlicht. Der Support-Beitrag zur Schwachstelle CVE-2026-45585 enthält auch eine Anleitung, wie Administratoren das Problem durch Bereinigen der WinRE-Umgebung beseitigen können. Der Artikel wurde zum 21. Mai 2026 modifiziert und Microsoft hat ein PowerShell-Script zum Beheben der Schwachstelle ergänzt.

Bitlocker YellowKey-Mitigation

Die Kollegen von Cyber Security News weisen in obigem Tweet und diesem Artikel auf den Sachverhalt hin. Der Beitrag erklärt, wie man die kritische Datei autofstx.exe zum Offenlegen des Bitlocker-Volumes aus WinRE entfernen kann. Erscheint mir etwas weniger komplex, als das, was Microsoft unter CVE-2026-45585 als Anleitung liefert.

Artikelreihe:
Windows-Bitlocker-Splitter: Patches, YellowKey-CVE, Mitigations und Ungereimtheiten – Teil 1
Windows-Bitlocker-Splitter: Weitere Ungereimtheiten – Teil 2

Ähnliche Artikel:
Microsoft Security Update Summary (12. Mai 2026)
Patchday: Windows 10/11 Updates (12. Mai 2026)
Patchday: Windows Server-Updates (12. Mai 2026)
Patchday: Microsoft Office Updates (12. Mai 2026)

Windows 11: Dell bestätigt Probleme des Support Assist (Mai 2026)
Windows 11: Dell Support Assist verursacht BSOD mit Updates (Mai 2026)
Patchday-Nachlese (Mai 2026): Probleme mit Windows 11 und mehr

BitUnlocker-Downgrade-Angriff auf Windows 11 möglich
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams

Dieser Beitrag wurde unter Sicherheit, Update, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.