Windows: Details zur Bitlocker-Schwachstelle "Bitskrieg"

Veröffentlicht am 8. Juni 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Die in Windows mitgelieferte Bitlocker-Verschlüsselung lässt sich aushebeln. Ein als "Bitskrieg" bezeichneter Angriff ermöglicht den Zugriff auf verschlüsselte Volume, wenn ein lokaler Zugang besteht. Der Entdecker hat die Details jetzt offengelegt, nachdem die Nachricht zu "Bitskrieg" vor einigen Tagen die Runde macht.

Passwörter im Active Directory mit PowerShell verwalten. eBook herunterladen » (Sponsored by IT Pro)

Kurzer Rückblick auf die Bitskrieg-Ankündigung

Zwischen Microsoft und der Community der Sicherheitsforscher herrscht ein etwas angespanntes Verhältnis. Hintergrund ist, dass das Microsoft Security Response Center Meldungen zu Schwachstellen oft verschleppt, oder die Melder stiefmütterlich behandelt. Rückmeldungen an die Melder, dass es keine Schwachstelle sei, das Ganze aber heimlich gefixt wird, keine Erwähnung der Melder oder nicht gewährte Bug Bounty-Prämien haben dazu geführt, dass einige Sicherheitsforscher nichts mehr an Microsoft melden.

Eskaliert ist das Ganze dann mit einem Sicherheitsforscher mit dem Alias Nightmare Eclipse, der sich von Microsoft über den Tisch gezogen fühlte und im März 2026 eine Windows 0-Day-Schwachstelle mit dem Namen "BlueHammer" veröffentlichte (siehe meinen Blog-Beitrag BlueHammer: Windows 0-day-Schwachstelle). Seit dem hat dieser Sicherheitsforscher sechs Schwachstellen mit Exploits in Microsoft öffentlich gemacht und Microsoft vorgeführt.

Eine der weiteren 0-day-Schwachstellen war YellowKey in der Bitlocker-Verschlüsselung (siehe Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams). Microsoft hat diese Schwachstelle inzwischen geschlossen, war Nightmare Eclipse aber vor, durch die Veröffentlichung unverantwortlich zu handeln und sperrte dem Sicherheitsforscher den GitHub-Zugang.

Statt zu deeskalieren, goss Redmond weiteres Öl ins Feuer und versuchte allgemein alle Sicherheitsforscher die Schwachstellen ohne vorherige Meldungen veröffentlichen, zu kriminalisieren. Gleichzeitig wurde Druck auf Nightmare Eclipse aufgebaut – für diese Person scheint es wohl "existenzbedrohend" zu sein. Die Eskalation lässt sich über die am Artikelende verlinkten Blog-Beiträge nachlesen.

Diese Entwicklung führte zu einer Solidarisierung der Community der Sicherheitsforscher mit Nightmare Eclipse. Andere Sicherheitsforscher haben gefundene Schwachstellen kostenlos mit dem Sicherheitsforscher geteilt. Dazu gehört auch eine "Bitskrieg" genannte Schwachstelle zum Aushebeln der Bitlocker-Verschlüsselung. Ein Sicherheitsforscher hat die von Nightmare Eclipse mit YellowKey beschriebene Angriffsmethode, kurz nachdem Microsoft diese Schwachstelle schloss, modifiziert und bezeichnet das ganze als "Bitskrieg".  Ich hatte das im Beitrag Microsoft versus Nightmare Eclipse: Wir haben jetzt "Bitskrieg" thematisiert. Aber es lagen keine Details zur Schwachstelle vor.

Zum Wochenende hatte ich im Beitrag BlackHat 2026 in Vegas: Tritt das MSRC gerade in das nächste Fettnäpfchen? den Sachverhalt aufgegriffen, dass das Microsoft Security Resource Center von Sicherheitsforschern, die auf der BlackHat 2026 Vorträge halten, wissen will, ob dort Schwachstellen in Microsoft Produkten behandelt werden. Die Vortragenden sollen melden, ob Microsoft informiert sei, und auch die MSRC Meldungsnummer mitteilen. Stößt der Community der Sicherheitsforscher sauer auf, so mein Eindruck.

Details zu Bitskrieg veröffentlicht

Zu obigem Blog-Beitrag hat sich Blog-Leser peter0815 in diesem Kommentar gemeldet, und darauf hingewiesen, dass der Entdecker der "Bitskrieg"-Schwachstelle jetzt auf X die Details im Post Breaking Bitlocker again veröffentlicht hat.

Bitskrieg-Details

Der Sicherheitsforscher schreibt, dass Microsoft zwar die in YellowKey ausgenutzte Schwachstelle beseitigt habe (eine Datei zur Ausnutzung in WinRE wurde gelöscht). Aber am grundsätzlichen Designproblem habe Microsoft nichts geändert.

Der Angriff auf die Bitlocker-Verschlüsselung kann über die Wiederherstellungsumgebung (Windows Recovery Environment, WinRE) von Windows erfolgen. WinRE ist auf einer Systempartition gespeichert, die unverschlüsselt ist. Und das Trusted Platform Module (TPM) wird zum Zugriff erst gesperrt, wenn man eine Funktion nutzt, die nicht zur Startreparatur gehört. Die Überlegung ist daher, dass man unter WinRE Code auszuführen versucht. Ist der Zugriff auf das TPM noch nicht gesperrt, hat man Zugriff auf das verschlüsselte Bitlocker-Laufwerk.

In seiner Offenlegung auf X beschreibt Jonas Lyk, wie er ein Windows 11 in einer virtuellen Maschine installierte. Normalerweise wird ein Bitlocker Recovery-Key in WinRE abgefragt, wenn die Maschine in das Recovery Environment gebootet wird. Der Zugriff auf die Bitlocker-Laufwerke ist also für Dritte gesperrt. In dieses Stadium trägt der Sicherheitsforscher mit folgenden BCDEdit-Befehlen:

bcdedit /set ems 1 
bcdedit /set emsport 1

Anweisungen im Windows Boot Configuration Data (BCD) Bereich ein, die einen Emergency Management Services Port (EMSPORT ) zur seriellen Kommunikation mit Windows über einen Port für das Remote Management öffnen. Dann kann zur Boot-Zeit auf dem Host mittels Putty über eine Pipe mit der Windows Wiederherstellungsumgebung kommuniziert werden.

In der Offenlegung ist beschrieben, wie über Putty mittels diverser Befehle dann der Zugriff auf das Bitlocker-Volumen freigeschaltet werden kann. Das funktioniert, da TPM die Ausführungssequenz hasht, bevor der Anmeldebildschirm erscheint. Nur wenn sich diese Ausführungssequenz nicht geändert hat, wird das Laufwerk entsperrt. Der Angriff funktioniert für alle Windows-Version ab Windows XP und kann auch auf physischen Maschinen mittels eines USB-Serial-Adapters durchgeführt werden.

Die Quintessenz aus diversen Vorfällen ist, dass Bitlocker nicht als sicher im Hinblick auf die Verschlüsselung vertraulicher Daten angesehen werden kann. Im Beitrag Microsoft muss Bitlocker-Key an US-Strafverfolger (FBI) übergeben hatte ich ja bereits erwähnt, dass ein gespeicherter Bitlocker Recovery-Key durch Microsoft an Strafverfolger übergeben werden muss.

Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams
Nightmare Eclipse veröffentlicht MiniPlasma-Schwachstelle CVE-2020-17103
Zoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse
Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung
Microsoft versus Nightmare Eclipse: Wir haben jetzt "Bitskrieg"
BlackHat 2026 in Vegas: Tritt das MSRC gerade in das nächste Fettnäpfchen?

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.