BitLocker is de ingebouwde versleutelingsfunctie van Windows waarmee organisaties hun laptops en servers beschermen tegen onbevoegde toegang. De gedachte is eenvoudig: als een laptop wordt gestolen of kwijtgeraakt, kan een dief zonder de juiste sleutel niets met de gegevens. Die aanname staat nu onder druk.
Een beveiligingsonderzoeker heeft een kwetsbaarheid gepubliceerd, YellowKey genaamd, waarmee BitLocker-versleuteling op Windows 11 en Windows Server 2022 en 2025 volledig kan worden omzeild. De aanvalscode is publiek beschikbaar op GitHub. Microsoft heeft de kwetsbaarheid inmiddels erkend onder CVE-2026-45585 en tijdelijke mitigatiestappen gepubliceerd. Een definitieve patch is nog in ontwikkeling.
Hoe werkt de aanval?
De aanval is verrassend eenvoudig uit te voeren. Wie fysieke toegang heeft tot een computer, kopieert een mapje met de naam FsTx naar een USB-stick. Vervolgens wordt de computer opgestart vanuit die USB-stick, waarna een fout in de Windows-herstelomgeving wordt misbruikt om toegang te krijgen tot de versleutelde schijf, zonder dat daarvoor een wachtwoord of herstelsleutel nodig is.
De kwetsbaarheid zit in de manier waarop de Windows Recovery Environment omgaat met een specifieke registerwaarde. Via die fout kan een kwaadaardig programma worden uitgevoerd voordat het besturingssysteem volledig is geladen, waarmee de pre-boot authenticatie van BitLocker volledig wordt omzeild.
Voor misbruik is fysieke toegang tot de computer vereist. De kwetsbaarheid treft Windows 11, Windows Server 2022 en Windows Server 2025. Windows 10 is niet kwetsbaar. Dat betekent dat de aanval relevant is in scenario’s waarbij een laptop of server in verkeerde handen valt, bijvoorbeeld bij diefstal, verlies of onbeheerde toegang tijdens onderhoud of reparatie.
| CVE CVE-2026-45585 | Definitieve patch Nog niet | Exploit publiek Ja | Vereist Fysieke toegang |
Wat dit betekent voor organisaties
Veel organisaties vertrouwen op BitLocker als laatste verdedigingslinie voor laptops van medewerkers. De redenering is begrijpelijk: als een laptop wordt gestolen, zijn de gegevens onleesbaar. Die aanname klopt niet meer voor organisaties die Windows 11 draaien zonder aanvullende maatregelen.
De drempel voor misbruik is laag. De aanvalscode is publiek, de benodigde kennis minimaal en een USB-stick kost een paar euro. Dat maakt dit niet alleen een risico bij gerichte aanvallen, maar ook bij opportunistisch misbruik na diefstal of verlies van een apparaat.
De publieke beschikbaarheid van de YellowKey-aanvalscode verlaagt de drempel aanzienlijk, ook voor minder technisch onderlegde aanvallers.
Mitigatie: wat Microsoft adviseert
Microsoft heeft twee tijdelijke mitigatieopties gepubliceerd. Beide vereisen handmatig werk per apparaat door een systeembeheerder. Er is nog geen geautomatiseerde patch beschikbaar.
- Optie 1: Verwijder het kwetsbare onderdeel uit de herstelomgeving
De aanval werkt doordat een kwaadaardig programma automatisch wordt gestart wanneer de Windows-herstelomgeving wordt geladen. Door dat programma uit het herstelimage te verwijderen en daarna de BitLocker-vertrouwensrelatie met de herstelomgeving te herstellen, wordt de aanvalsmethode geblokkeerd. Dit is de technisch grondigste aanpak en vereist uitvoering per apparaat.
Mounten van het WinRE-image, verwijderen van autofstx.exe uit de BootExecute-registerwaarde en herstellen van BitLocker-vertrouwen:reagentc /disable
mkdir C:\WinRE
reagentc /info
# Noteer het pad naar Winre.wim, bijv. C:\Windows\System32\Recovery\Winre.wim
dism /Mount-Image /ImageFile:"C:\Windows\System32\Recovery\Winre.wim" /index:1 /MountDir:C:\WinRE
reg load HKLM\WinRE_System C:\WinRE\Windows\System32\config\SYSTEM
reg delete "HKLM\WinRE_System\ControlSet001\Control\Session Manager" /v BootExecute /f
reg add "HKLM\WinRE_System\ControlSet001\Control\Session Manager" /v BootExecute /t REG_MULTI_SZ /d "autocheck autochk *" /f
reg unload HKLM\WinRE_System
dism /Unmount-Image /MountDir:C:\WinRE /commit
reagentc /enable
manage-bde -protectors -disable C:
manage-bde -protectors -enable C: - Optie 2: Voeg een BitLocker-pincode toe (eenvoudiger, maar beperkter)
Het koppelen van BitLocker aan een persoonlijke pincode of een BIOS-wachtwoord blokkeert de huidige versie van YellowKey. Dit is de sneller te implementeren optie, maar let op: de onderzoeker heeft aangegeven ook een variant te hebben die TPM met pincode omzeilt. Die variant is echter vooralsnog niet publiek gemaakt.
Inschakelen van TPM+PIN via Group Policy (voor beheerde omgevingen):
Via Group Policy Editor:Computer Configuration > Administrative Templates >
Windows Components > BitLocker Drive Encryption >
Operating System Drives >
"Require additional authentication at startup"
Stel in:Configure TPM startup PIN = Require startup PIN with TPM - Aanvullend: stel een BIOS-wachtwoord in en beperk opstartopties
De aanval vereist dat de computer opstart vanaf een externe USB-stick. Door in het BIOS de opstartvolgorde te beperken tot de interne schijf en dit te beveiligen met een wachtwoord, wordt het aanvalspad verder verkleind. Dit is een eenvoudige maar effectieve aanvullende maatregel, met name voor laptops die buiten de kantooromgeving worden gebruikt.
Bredere aanbevelingen voor organisaties
- Breng in kaart welke apparaten uitsluitend op TPM vertrouwen
Laptops die buiten kantoor worden gebruikt, zijn het meest kwetsbaar bij diefstal of verlies. Zorg dat deze apparaten als eerste worden voorzien van de mitigatie. - Controleer of Windows Server 2022 en 2025 in scope zijn
De kwetsbaarheid treft ook servers. Hoewel fysieke toegang tot een server in een datacenter lastiger te realiseren is, verdient dit aandacht voor servers in minder beveiligde omgevingen zoals kantooromgevingen of co-locaties. - Sla BitLocker-herstelsleutels veilig op
Het toevoegen van een pincode heeft alleen zin als de pincode ook daadwerkelijk geheim blijft en de herstelsleutel niet eenvoudig toegankelijk is. Zorg dat herstelsleutels centraal en beveiligd worden opgeslagen, bijvoorbeeld via Microsoft Intune of Active Directory, en niet lokaal op het apparaat. - Houd de patchstatus actief in de gaten
Microsoft werkt aan een definitieve patch. Zodra die beschikbaar is, moet deze prioriteit krijgen bij de uitrol, ook op apparaten waar de tijdelijke mitigatie al is doorgevoerd. - Ga voor een multilayer oplossing
Door bijvoorbeeld voor een encryptie-oplossing van een andere partij te kiezen waarbij bij elke boot een wachtwoord of PIN-code altijd vereist is.
De kern van het probleem
YellowKey laat zien dat encryptie alleen niet voldoende is als beveiligingsmaatregel. BitLocker beschermt gegevens op een versleuteld apparaat, maar die bescherming is afhankelijk van hoe het is geconfigureerd. Een standaardinstallatie zonder pincode of BIOS-beveiliging biedt bij fysieke toegang minder bescherming dan veel organisaties aannemen. Daarbij zijn wij van mening dat encryptie waarbij elke keer het wachtwoord ingevuld moet worden uit het oogpunt van security altijd beter is.
Dat is de les die hier wordt onderstreept: versleuteling is een laag in een beveiligingsstrategie, geen sluitende oplossing op zichzelf. Wie dat begrijpt, begrijpt ook waarom de configuratie van die versleuteling minstens zo belangrijk is als het feit dat die aanstaat.
Wat RiskGuard hierin doet
RiskGuard helpt organisaties beoordelen of hun encryptieconfiguratie aansluit op de huidige dreigingen. We brengen in kaart welke apparaten kwetsbaar zijn, ondersteunen bij het doorvoeren van mitigatiestappen en adviseren over een structurele aanpak van endpoint-beveiliging die verder gaat dan het standaard inschakelen van BitLocker.
Wil je weten of jouw organisatie kwetsbaar is voor YellowKey of hoe jullie BitLocker-configuratie er voor staat? Neem contact op voor een vrijblijvend gesprek.
