Een simpele hacktool op een USB-sleutel kraakt de BitLocker-encryptie op Windows-computers. Dat bewees onderzoeker Nightmare-Eclipse met een publiek beschikbaar proof-of-concept genaamd YellowKey. De tool werkt op Windows 11 en Windows Server 2022 en 2025. De aanvaller plaatst speciaal aangepaste bestanden op een USB-stick of in de EFI-partitie van de pc. Na een herstart via de Windows Herstelmodus (WinRE) krijgt hij toegang tot de versleutelde schijf. De aanvaller heeft geen wachtwoord of herstelsleutel nodig — de aanval verloopt grotendeels automatisch.
De aanval richt zich op BitLocker in de standaard TPM-only modus. De meeste consumenten-pc’s en laptops gebruiken deze instelling standaard. Een aanvaller heeft wel fysieke toegang tot de computer nodig. De exploit werkt niet op gestolen of losgekoppelde schijven — de pc moet aanstaan. Toch is dit een serieuze bedreiging. Veel kantoorapparaten staan overdag onbeheerd en ingeschakeld. Cybercriminelen of kwaadwillende insiders kunnen met deze methode eenvoudig gevoelige gegevens stelen.
Nightmare-Eclipse vermoedt dat het niet gaat om een gewone bug, maar om een bewuste achterdeur van Microsoft. Microsoft heeft de kwetsbaarheid tot nu toe niet officieel erkend. Het bedrijf heeft ook nog geen beveiligingsupdate uitgebracht en geen CVE-nummer toegekend. Daarmee blijven miljoenen Windows-gebruikers kwetsbaar totdat Microsoft actie onderneemt.
Beveiligingsexperts raden aan om direct extra maatregelen te nemen. Stel naast de standaard TPM-beveiliging ook een PIN of wachtwoord in voor BitLocker. Schakel ook de beveiligde opstartmodus in en beperk de toegang tot de herstelmodus. Zo maak je je systeem minder kwetsbaar voor dit soort aanvallen. Zeker voor computers met bedrijfs- of persoonsgegevens is extra voorzichtigheid nu noodzakelijk.
