YellowKey + GreenPlasma: Zwei Windows-Zero-Days ohne Patch

Am 13. Mai, einen Tag nach Microsofts Mai-Patch-Tuesday, hat ein Forscher unter dem Namen Chaotic Eclipse (auf GitHub auch als Nightmare-Eclipse) zwei brandheiße Windows-Zero-Days als Proof-of-Concept in die Welt geblasen — beide ohne Microsoft-Patch.

SCHOCK 1: YellowKey kickt BitLocker mit USB-Stick

YellowKey erlaubt Angreifern mit physischem Zugriff, die BitLocker-Verschlüsselung auf Windows 11 und Windows Server 2022/2025 zu umgehen. Der Trick läuft über das Windows Recovery Environment (WinRE): Der Angreifer steckt einen vorbereiteten USB-Stick ein, vollendet eine bestimmte Tasten-Sequenz und bekommt unbeschränkten Shell-Zugriff auf das BitLocker-geschützte Gerät. Aus, fertig, Festplatte offen.

SCHOCK 2: GreenPlasma macht JEDEN User zum SYSTEM-Admin

GreenPlasma ist die hässlichere Variante: Eine Privilege-Escalation-Lücke, die jedem unprivilegierten User SYSTEM-Rechte verschafft. Möglich macht das eine Manipulation des CTFMON-Prozesses (Collaborative Translation Framework). Wer einmal auf der Maschine ist — egal ob als Standard-User, RDP-Gast oder Kiosk-Account — kann mit dem PoC zum Admin werden. Für Multi-User-Systeme, Citrix-Farmen oder klassische Office-PCs ist das ein SOFORT-Stopp.

WARUM Microsoft GERADE jetzt zittert

Chaotic Eclipse beschreibt sich selbst als frustrierten Ex-Microsoft-Mitarbeiter, der nach einem angeblichen Vertrauensbruch begonnen hat, Bugs öffentlich zu droppen. YellowKey und GreenPlasma sind schon die fünfte Zero-Day-Bombe aus dieser Reihe in diesem Jahr. Und der Forscher hat eine „große Überraschung“ für den Juni-Patchday angekündigt. Auf gut Deutsch: Es kommt noch mehr.

UNGLAUBLICH: PoC-Code ist PUBLIC

Beide Exploits sind als funktionierender Code öffentlich. Das heißt, jeder mit einem GitHub-Account, einem Kaffee und etwas PowerShell-Geduld kann sie testen. Für Pentester ist das ein Geschenk, für Admins ein Albtraum.

SO RETTEST du DEINE Flotte JETZT

YellowKey: Geräte physisch sichern — Boot-Order im BIOS sperren, USB-Boot deaktivieren, ggf. Tamper-Detection im TPM aktivieren. In Unternehmen: Recovery-Keys nur in geschützten Vaults speichern, niemals auf dem Gerät selbst.
GreenPlasma: Lokale Standard-User wirklich auf Standard-Rechte zwingen, Application-Control aktivieren, CTFMON-Aktivitäten im EDR ins Monitoring nehmen. Verzichte auf Multi-User-Sessions, wo es geht.
Beides: Patch-Bereitschaft für den Juni-Patchday hochfahren. Microsoft wird liefern müssen — und du musst sofort einspielen.

FAZIT: Der schlimmste Patch-Tuesday-Nachschlag des Jahres

Microsoft hat erst am 12. Mai mit über 120 Fixes ein Mammut-Patchday hinter sich gebracht — und schon einen Tag später ist YellowKey/GreenPlasma da. Der Juni-Patchday wird heiß, und bis dahin gilt: Augen offen halten, EDR scharf stellen, physische Sicherheit ernst nehmen. Das ist 2026, AI baut die Exploits und Insider droppen die Zero-Days — willkommen in der neuen Normalität.

Häufige Fragen

Welche Windows-Versionen sind betroffen?

YellowKey trifft Windows 11 und die Server-Editionen 2022 sowie 2025 mit aktivierter BitLocker-Verschlüsselung. GreenPlasma betrifft praktisch alle aktuellen Windows-Clients und -Server, weil CTFMON tief in der Eingabearchitektur verankert ist. Ältere Versionen wie Windows 10 sind laut bisherigen PoC-Notizen weniger im Fokus, der Researcher hat sich auf die Supported Releases konzentriert.

Wann kommt der Patch?

Microsoft hat sich öffentlich noch nicht zu einem konkreten Termin geäußert. Realistisch ist der reguläre Juni-Patch-Tuesday am 9. Juni 2026, eventuell Out-of-Band früher, wenn Exploits in der Wildbahn auftauchen. Bis dahin sind die unten genannten Mitigations Pflicht.

Wie merke ich, ob YellowKey gegen mich genutzt wurde?

YellowKey hinterlässt Spuren im WinRE-Log und in den BitLocker-Event-Logs. Wenn ein Gerät unerwartet im Recovery-Mode war, ohne dass du es weißt, oder neue lokale User-Accounts auftauchen, ist das ein klares Warnsignal. Ohne Physical-Access-Logging ist ein lückenloser Nachweis schwer — deshalb gilt: Wenn das Gerät verloren ging und wiederkommt, vorsichtshalber komplett neu aufsetzen.

Gibt es Workarounds für GreenPlasma?

Eine saubere Mitigation gibt es nicht, weil CTFMON ein integraler Teil des Eingabe-Stacks ist und nicht einfach deaktiviert werden kann. Was hilft, ist konsequente Anwendung von Least Privilege, aktivierte Application Control (z. B. WDAC) und das Härten von Multi-User-Szenarien. Wer Citrix oder RDS-Farms betreibt, sollte zusätzliche EDR-Regeln auf verdächtige CTFMON-Manipulationen schalten.

Quellen: The Register, SecurityWeek, The Hacker News, BleepingComputer.

WINDOWS-HORROR! Disgruntled-Hacker droppt JETZT YellowKey + GreenPlasma — BitLocker fällt mit ZWEI Klicks, Microsoft hat noch KEINEN Patch