Simpele hacktool op usb-stick kraakt Bitlocker-encryptie op Windows-pc's

Een vrijgegeven hacktool maakt het mogelijk om de Bitlocker-versleuteling van Windows te omzeilen en toegang tot opgeslagen gegevens te krijgen. Windows-pc's en -servers zijn kwetsbaar. Voor misbruik van het YellowKey-gat is wel fysieke toegang tot een computer nodig.

De proof-of-conceptcode voor YellowKey is publiek vrijgegeven op Microsofts ontwikkelplatform GitHub. De anonieme securityonderzoeker, Nightmare-Eclipse, die de zerodaykwetsbaarheid vond, biedt ook gedetailleerde technische informatie om misbruik te maken van dit beveiligingsgat in de schijfencryptie van Windows. Daarbij stelt deze hacker dat het een bewuste backdoor in Windows lijkt te zijn.

Deze speculatie berust op het feit dat de misbruikte kwetsbaarheid alleen zit in een Windows-component die aanwezig is in het image van de Windows Recovery Environment. De component bevindt zich ook in een reguliere Windows-installatie, maar heeft dan niet de functionaliteit waarin de bug zit die het omzeilen van BitLocker mogelijk maakt, legt de hacker uit in de documentatie bij YellowKey.

Gevaar voor gestolen computers

De ontdekte kwetsbaarheid, die nu net na Microsofts maandelijkse patchronde is geopenbaard, is niet van toepassing op Windows 10. Alleen Windows 11, Windows Server 2022 en Windows Server 2025 zijn geraakt. Voor misbruik is wel fysieke toegang tot een computer nodig. De hacktool moet immers vanaf een usb-stick draaien. Het vormt wel een bedreiging voor gestolen computers waarbij BitLocker nu dus geen databescherming meer biedt, merkt Bleeping Computer op.

Naast YellowKey geeft Nightmare-Eclipse nog een zerodaykwetsbaarheid in Windows vrij. Deze heet GreenPlasma en komt nu niet compleet met exploitcode om er misbruik van te maken. Het gaat om een manier om vanuit het account van een gewone gebruiker op Windows de vergaande systeemrechten te verkrijgen. Deze verhoging van privileges kan meer macht opleveren dan een beheerdersaccount heeft.

BitLocker wachtwoord. Bron: Microsoft

Door Jasper Bakker

Nieuwsredacteur

Feedback • 14-05-2026 10:33
84 • submitter: g4wx3

14-05-2026 • 10:33

84

Submitter: g4wx3

Lees meer

BitLocker-herstelsleutel is in sommige gevallen nodig na maandupdate Windows 11
BitLocker-herstelsleutel is in sommige gevallen nodig na maandupdate Windows 11 Nieuws van 16 april 2026
Microsoft gaf BitLocker-sleutels aan FBI om laptops verdachten te ontgrendelen
Microsoft gaf BitLocker-sleutels aan FBI om laptops verdachten te ontgrendelen Nieuws van 23 januari 2026
Microsoft lost BitLocker-problemen Windows 10 op met spoedpatch
Microsoft lost BitLocker-problemen Windows 10 op met spoedpatch Nieuws van 20 mei 2025
Fout in Windows-beveiligingsupdate stuurt gebruiker naar BitLocker-herstelscherm
Fout in Windows-beveiligingsupdate stuurt gebruiker naar BitLocker-herstelscherm Nieuws van 25 juli 2024
Youtuber kraakt BitLocker-versleuteling binnen minuut met Raspberry Pi Pico
Youtuber kraakt BitLocker-versleuteling binnen minuut met Raspberry Pi Pico Nieuws van 8 februari 2024
Meer producten en artikelen
Besturingssystemen Beveiliging en antivirus Netwerk en systeembeheer Opslag Politiek en recht Privacy Microsoft Windows Beveiliging Bitlocker Cybercrime Cybersecurity Encryptie Hack Hackers

Reacties (84)

-Moderatie-faq
84
82
54
4
0
22
Wijzig sortering

Sorteer op:

Weergave:
HKLM_
14 mei 2026 10:44
Jammer dat het artikel het niet benoemd maar de volgende mitigations zijn een optie, waarbij KB5025885 de meest makkelijke optie is.

Security teams should take the following actions immediately:
  • Enable TPM + PIN pre-boot authentication— the single most effective control, preventing TPM from releasing the VMK during any manipulated boot sequence.
  • Deploy KB5025885 — this Microsoft update migrates boot manager signing to CA 2023 and introduces revocation controls that eliminate the downgrade path. “Systems that have completed the KB5025885 migration, moving the boot manager signature to the newer Windows UEFI CA 2023 certificate, are also protected against this downgrade path.”
  • Verify boot manager certificate — mount the EFI partition and use sigcheck to confirm the active bootmgfw.efi is signed under CA 2023, not the legacy PCA 2011.
  • Remove the WinRE recovery partition on high-security workloads where pre-boot authentication cannot be enforced, minimizing the attack surface exposed to this class of exploit.
Reageer
Aaargh! @HKLM_14 mei 2026 11:34
  • Enable TPM + PIN pre-boot authentication— the single most effective control, preventing TPM from releasing the VMK during any manipulated boot sequence.
Dit helpt niet, volgens de auteur v/d exploit.
No, TPM+PIN does not help, the issue is still exploitable regardless, I asked myself this question, can it still work in a TPM+PIN environment ? Yes it does, I'm just not publishing the PoC, I think what's out there is already bad enough.
Reageer
HKLM_
@Aaargh!14 mei 2026 11:44
Je moet volgens mij wel alles doen
Reageer
IStealYourGun @HKLM_14 mei 2026 10:50
De eerste (Enable TPM + PIN pre-boot authentication), is trouwens al reeds aangeraden door het Microsoft defender team.
Reageer
Blokker_1999
@IStealYourGun14 mei 2026 11:15
Dit omdat je hiermee andere aanvallen ook tegen gaat. Tot op heden was het zo dat je in principe de sleutel kunt afluisteren op de communicatiebus tussen de TPM chip en de CPU. Dat voorkom je met de PIN code omdat bij het gebruik van een PIN code de TPM enkel de sleutel zal vrijgeven als je de juiste PIN code aanbiedt. Dit in tegenstelling tot standaard BitLocker waarbij de key gewoon door het OS kan opgevraagd worden.

Deze nieuwe aanval lijkt het dan weer mogelijk te maken om vanuit de WinRE omgeving ook de sleutel te kunnen opvragen, mogelijk iets dat men ooit heeft ingebouwd om recovery eenvoudiger te willen maken als het misloopt, maar wat achteraf dus een beveiliginsprobleem lijkt te zijn.
Reageer
Accretion @Blokker_199914 mei 2026 11:53
mogelijk iets dat men ooit heeft ingebouwd om recovery eenvoudiger te willen maken als het misloopt
Of mogelijk een backdoor :)
Reageer
Technoid @IStealYourGun14 mei 2026 11:38
Een Pin is nog altijd schijnveiligheid, je eigen medewerkers/collega’s kunnen nog steeds misbruik hier van maken. Ook is het zo dat een Pin vaak snel uitlekt uit gemak, net als bijv een gasten wifi wachtwoord, binnen no time de hele wereld over (bij wijze van)
Reageer
Accretion @Technoid14 mei 2026 11:53
Zeker als de BitLocker pin op een plak notitie aan het scherm hangt of 123456 is.
Reageer
batjes
@Technoid14 mei 2026 12:01
Een PIN is geen schijnveiligheid, het is alleen zwakker dan een (deftig) wachtwoord.

Het voordeel van een PIN is is dat deze apparaatgebonden is, in plaats van accountgebonden. Het lekken van een PIN is daarom minder impactful, helemaal bij een goede inrichting. En mag daarom wel wat zwakker zijn dan een wachtwoord in ruil voor het gemak. Je kan die zwakte bijvoorbeeld weer afvangen met periodiek MFA eisen.

Zo'n combinatie houd het laagdrempelig en de combinatie is veiliger dan alleen een wachtwoord wat nog altijd heel gebruikelijk is. Security is altijd een afweging tussen absolute veiligheid en gemak. Maak het te lastig en mensen gaan er omheen werken.

Het zou ook niet moeten uitmaken of je gasten wifi wereldwijd bekend is. De meeste toko's hebben dit op papier of bordjes staan.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@HKLM_14 mei 2026 10:56
Heb je een bron voor deze informatie? Bij Microsoft zelf kan ik nog maar weinig vinden helaas.

Hier zou MS bovenop moeten zitten!

Update: deze info is o.a. hier te vinden: https://www.cryptika.com/...ypted-disks-in-5-minutes/

[Reactie gewijzigd door Bor op 14 mei 2026 11:00]

Reageer
RSH @Bor14 mei 2026 11:05
Specifiek TPM met PIN staat in het gelinkte artikel van bleepingcomputer en wordt ook onafhankelijk gemeld door Kevin Beaumont die ook in dat artikel genoemd wordt, de andere punten haal ik niet uit de zo snel beschikbare info.
Reageer
HKLM_
@Bor14 mei 2026 11:05
Microsoft is inderdaad wat stil, ik zag hem ook nog niet in de defender portal bij de adviezen.

Mijn lijstje is gebaseerd op het lijstje van de security onderzoekers van intrinsec.

https://www.intrinsec.com/en/contournement-bitlocker-la-realite-des-downgrade-attacks/
Reageer
D3LTA @Bor14 mei 2026 11:06
Ze zijn laat hier, dit was gister 13 mei al nieuws.
Reageer
meowmofo @HKLM_14 mei 2026 10:57
Waar komt deze tekst vandaan? Wat heeft KB5025885 precies met deze exploit te maken?

#edit
Inmiddels hierboven beantwoord, thanks!

[Reactie gewijzigd door meowmofo op 14 mei 2026 11:08]

Reageer
KeiFront @HKLM_14 mei 2026 12:06
Security teams should take the following actions immediately:
  • Enable TPM + PIN pre-boot authentication— the single most effective control, preventing TPM from releasing the VMK during any manipulated boot sequence.
TPM + PIN lijkt op dit moment slechts een tijdelijke oplossing te zijn. Volgens de onderzoeker die de exploit heeft ontdekt, is deze combinatie niet voldoende voor volledige bescherming, aangezien hij ook de combinatie TPM + PIN ook kan omzeilen. Zijn proof‑of‑concept (POC) heeft hij echter nog niet vrijgegeven zie zijn blogpost:

"Second thing is, No, TPM+PIN does not help, the issue is still exploitable regardless, I asked myself this question, can it still work in a TPM+PIN environment ? Yes it does, I'm just not publishing the PoC, I think what's out there is already bad enough." https://deadeclipse666.blogspot.com/2026/05/were-doing-silent-patches-now-huh-also.html
Reageer
Triblade_8472 14 mei 2026 10:44
Ouch, pijnlijke exploits! Zeker als je zo op Bitlocker 'moet' vertrouwen.

Ik betwijfel of men kan ooit sluitend kan bewijzen dat het om een backdoor gaat, maar met de CIA/Amerikaanse honger èn bewezen Amerikaanse backdoor in (naar ik dacht) Cisco apparatuur, zou het mij absoluut niks verbazen.

Ik ben benieuwd of er ergens simpel uitgelegd gaat worden waarom het omzeilen van Bitlocker werkt, welk gat het misbruikt.
Reageer
HKLM_
@Triblade_847214 mei 2026 10:57
Deze gebruiker op X legt het wel aardig uit:
Microsoft shipped code that checks for a flag called "FailRelock" in every Windows 11 recovery image. When it's set to 1, after recovery unlocks your BitLocker drive, it never relocks it.

How it works:

1. Recovery tools look for a config file called RecoverySimulation.ini on the OS drive

2. If Active=Yes, it enables "test mode" for the recovery tools

3. Test mode unlocks your BitLocker drive but a flag called FailRelock tells it to skip relocking

4. cmd.exe spawns with full access to your "encrypted" drive
https://x.com/weezerosint/status/2054299771817660433?s=46

[Reactie gewijzigd door HKLM_ op 14 mei 2026 10:58]

Reageer
Tourmaline @HKLM_14 mei 2026 11:13
Dit is wel wat duidelijker dan de OP tekst. ;)
Reageer
Audione0 @Triblade_847214 mei 2026 11:08
Ik weet niet of het een stoer verhaal was, maar tijdens mijn vakantie sprak ik iemand die op een security IT afdeling van de Nederlandse recherche werkt, en volgens hem kunnen computers en smartphones verrassend snel worden gekraakt.
Ook als de schijven beveiligd zijn met BitLocker, True/VeraCrypt en vergelijkbare oplossingen. IOS/OSX apparaten idem dito volgens hem.

Zoals ik het zie, is elk systeem uiteindelijk te kraken. t is niet of het gebeurt, maar wanneer.

Ik heb vooral het idee (aanname) dat crypt tools als schijnveiligheid bedoelt is.
Niets is veilig...
Reageer
Tourmaline @Audione014 mei 2026 11:34
Niet voor de overheden, nee. Het was overigens al bekend dat er backdoors waren voor politie e.d.
Reageer
Juice2000 14 mei 2026 10:46
Ik installeer altijd Btilocker op de laptops die ik uitgeef op m'n werk. Maar in feite kan ik daar dus net zo goed mee stoppen begrijp ik, want het is een back-door, dwz een feature, en geen bug. Ik neem aan dat ze het dus ook niet gaan fixen?

Ik wordt niet heel veel wijzer van dit artikel moet ik zeggen... Want ik weet nog steeds niet echt waar ik nu aan toe ben. Moet ik stoppen met Bitlocker omdat het geen zin meer heeft in feite, of moet ik gewoon wachten op een fix van Microsoft?
Reageer
Tourmaline @Juice200014 mei 2026 10:55
Je moet toegang hebben tot de fysieke laptop of pc, dus het beschermt nog steeds enigzins. Alleen iemand met een usb stick kan het zo omzeilen. Bij de meeste bedrijven zijn usb-sticks inmiddels verboden.

Dit is ook van belang:

"Deze speculatie berust op het feit dat de misbruikte kwetsbaarheid alleen zit in een Windows-component die aanwezig is in het image van de Windows Recovery Environment. Het component bevindt zich ook in een reguliere Windows-installatie, maar heeft dan niet de functionaliteit waarin de bug zit die het omzeilen van BitLocker mogelijk maakt, legt de hacker uit in de documentatie bij YellowKey."

[Reactie gewijzigd door Tourmaline op 14 mei 2026 11:07]

Reageer
FreezeXJ @Tourmaline14 mei 2026 11:14
Maar het idee van BitLocker is dat je data niet op straat liggen als een laptop gejat wordt. Aangezien de dieven zich niks aantrekken van een USB-verbod (tenzij je met superlijm de poorten dichtprakt) en vast een Recovery-USB kunnen bakken, is de beveiliging daartegen alsnog 0.

Vervelender: dat geldt retroactief, alle laptops die het afgelopen jaar gestolen zijn kunnen nu alsnog unlocked worden.
Reageer
Tourmaline @FreezeXJ14 mei 2026 11:20
Lijmen hoeft niet, je hebt ook gewoon van die dopjes die je in je usb poorten kunt stoppen voor beveiliging/stof...


Je kunt ook in Windows zelf usb toegang uitschakelen. Dan kun je er instoppen wat je wilt maar werkt het ook niet. USB uitzetten in bios kan ook. In de meeste grote bedrijfsomgevingen zijn usb-sticks inmiddels verboden. De kans dat het op lokatie zal gebeuren is wel erg klein.

Tja, als iemand een laptop verliest is het wat lastiger al heb je tegenwoordig ook software die je lokatie kan tonen van de laptop en je kunt op afstand wissen.

[Reactie gewijzigd door Tourmaline op 14 mei 2026 11:41]

Reageer
meowmofo @Juice200014 mei 2026 10:55
Niet echt. Je moet zorgen dat er een pre-boot PIN op staat zodat de TPM-chip de sleutel pas vrijgeeft na het invoeren van de PIN.
Reageer
bramvkempen @Juice200014 mei 2026 11:01
Bitlocker heeft een modus waarbij je voordat Windows opstart eerst een PIN moet ingeven. Dit lost waarschijnlijk dit probleem op. Standaard Bitlocker ontgrendelt de disk als je opstart door middel van de TPM. Daarom krijg je het normale inlogscherm te zien.
Reageer
downtime @Juice200014 mei 2026 11:16
Zorg na installatie van Windows dat er niet meer vanaf USB geboot kan worden. En zet dan natuurlijk ook een password op het BIOS zodat het niet zomaar aangepast kan worden.
Reageer
jeroenvj @downtime14 mei 2026 12:00
Deze exploit is niet gebaseerd op booten van een USB stick.
Reageer
downtime @jeroenvj14 mei 2026 12:12
Het artikel zegt letterlijk dat de hacktool vanaf een USB stick moet draaien. Maar het lijkt er idd op dat dat niet klopt. Je kan ook de recovery partitie aanpassen door de disk tijdelijk in een andere machine te steken.
Reageer
Blokker_1999
@Juice200014 mei 2026 11:23
Neen, je moet daar niet mee stoppen. De encryptie zelf is niet gekraakt en Microsoft lost het probleem ook gewoon op. Maar wil je echt zeker zijn, vereis dan een PIN code voor je BitLocker bij het opstarten. Dan zal de TPM de sleutel enkel en alleen afgeven als iemand de PIN code invoert, ook in een recovery omgeving.

Verder kan je ook gewoon de recovery partitie verwijderen mocht je dat wensen. Dan is dit probleem ook weer gemitigeerd.
Reageer
Floris4970 14 mei 2026 10:41
Ik blijf het toch bizar vinden.. iets als BitLocker zou toch theoretisch zo in elkaar moeten zitten dat zelfs MS de boel niet kan ontgrendelen.

Als het op een of andere manier mogelijk is om zonder een wachtwoord de key van de disk te krijgen heb je er dus niets aan.
Reageer
Tourmaline @Floris497014 mei 2026 10:51
Er zitten dus meer backdoors in Amerikaanse apparaten/software dan in Chinese...... :+
Reageer
m-a-r-t-1 @Tourmaline14 mei 2026 11:02
Je krijgt dan helaas wel -1, maar ik vermoed dat je wel gelijk hebt.
Reageer
pietvelleman @m-a-r-t-114 mei 2026 11:19
Vertel eens waar je vermoeden op is gebaseerd?

- hoeveel backdoors zitten er in Amerikaanse apparaten/software?
- hoeveel backdoors zitten er in Chinese apparaten/software?

Ik vermoed dat jij 2x "geen idee" antwoord.

En ik vermoed dat de -1 gebaseerd is op het feit dat dit soort uitspraken gewoon 'onderbuik leegloperij' is. En daar heb je niet zoveel aan op een forum als Tweakers. Dan kun je beter naar joop of geenstijl gaan.
Reageer
Tourmaline @pietvelleman14 mei 2026 11:24
Tot op heden geen aantoonbare backdoors in Chinese aparatuur ontdekt, wel in apparatuur van bijv. Cisco

https://www.infoworld.com/article/2179244/snowden-the-nsa-planted-backdoors-in-cisco-products.html


https://www.tomshardware.com/tech-industry/cyber-security/iran-claims-us-exploited-networking-equipment-backdoors-during-strikes


Tot op heden berust het Amerikaans bewijs alleen op "afpersing" vanwege de handelsoorlog met China.

In huawei aparatuur is nog niets aangetoond.

[Reactie gewijzigd door Tourmaline op 14 mei 2026 11:26]

Reageer
meowmofo @Tourmaline14 mei 2026 11:35
China houd er simpelweg gewoon een andere werkwijze op na. Waarom iets voorzien van een backdoor als vrijwel alles ook gewoon te hacken is?
Reageer
Tourmaline @meowmofo14 mei 2026 11:43
En Amerika, Europese landen doen dat niet? Vooral Rusland is erg actief met hacken.
Reageer
meowmofo @Tourmaline14 mei 2026 11:56
Dat is niet wat ik zeg. Ik wijs alleen op het backdoor stukje.
Reageer
Blokker_1999
@Tourmaline14 mei 2026 11:25
We gebruiken veel meer Amerikaanse dan Chinese software dus gewoon het feit dat we meer zien vanuit Amerikaanse hoek betekend niets.
Reageer
bzzzt @Tourmaline14 mei 2026 12:05
Er zitten dus meer backdoors in Amerikaanse apparaten/software dan in Chinese...... :+
Dat is extreem slecht te onderbouwen. Hoe onderscheid je een backdoor van een bug?
Reageer
Tourmaline @bzzzt14 mei 2026 12:06
Door uitgebreid onderzoek en snowden.
Reageer
ikweethetbeter @Floris497014 mei 2026 10:54
Inderdaad, dat verwacht je!

FileVault op de Mac is niet te omzeilen, dus ook niet door Apple. Met forensische tools en brute force kun je het proberen, maar succes is niet gegarandeerd. Met andere woorden: FileVault is zeer veilig, in tegenstelling tot BitLocker.
Reageer
Dennism @ikweethetbeter14 mei 2026 11:47
Filevault is toch gewoon hetzelfde als Bitlocker met Pre boot authenticatie?
Reageer
bzzzt @Dennism14 mei 2026 12:03
In principe doet Apple hetzelfde, maar is de achterliggende gedachte anders: FileVault gaat voor de meest simpele manier om encryptie met een hardware-gebaseerde sleutel te implementeren en doet dat op alle apparaten hetzelfde. Microsoft is flexibeler (met/zonder pre-boot authenticatie, verschillende versies TPM, allerlei enterprise key escrow systemen) maar daardoor is het risico op onveilige configuraties ook hoger.
Reageer
Dennism @Floris497014 mei 2026 11:38
Dat is in principe gewoon standaard bij bitlocker en andere full disk encryption methodes voor de boot disk, immers de disk moet unlocked zijn om te kunnen booten en tot het scherm te komen waar je jouw password in kan geven.

Juist daarom heb je een optie om een '2de' login scherm te introduceren in bitlocker (Pre Boot authenticatie), waarbij de disk inderdaad pas na het ingeven van een wachtwoord unlocked wordt. Zonder deze Pre Boot authenticatie beschermd bitlocker vooral tegen diefstal van de schijf (je kan deze niet unlocken in een ander systeem zonder de recovery key), maar als je hele device wordt gestolen en men kan zonder verdere beveiliging op op het inlogscherm komen ben je al voorbij bitlocker en zit men al bij de volgende verdedigingslijn (authenticatie).
Reageer
Floris4970 @Dennism14 mei 2026 12:00
Wie steelt er nou een schijf uit een apparaat en niet het hele apparaat?

En waarom niet standaard de schijf unlocken bij elke boot zoals bij MacOS (ik heb daar eigenlijk nooit zo een probleem mee 2x wachtwoord invoeren)

Is het hele BitLocker dan niet een beetje een wassen neus? Menig bedrijf heeft BitLocker aan staan voor als de medewerker de PC in de trein achterlaat. Dan heb je daar dus niets aan.

En waarom niet het OS niet encrypten en de rest van de bestanden wel?
Reageer
Padje 14 mei 2026 10:40
Gisteren getest en het werkt als een zonnetje!
Erg vervelend als je van Bitlocker afhankelijk bent en je medewerkers rond huppelen met laptops.
Reageer
Tourmaline @Padje14 mei 2026 10:44
Je hebt ook nog 3rd party versleutel software voor het versleutelen van eventuele hdd's of mappen.
Reageer
Padje @Tourmaline14 mei 2026 10:47
Dat gebruiken de meeste bedrijven niet voor M365 data lokaal zou Purview gebruikt kunnen worden. Echter is dit meer een uitzondering dan de standaard vandaag de dag.
Reageer
Dennism @Padje14 mei 2026 11:23
Maar als je dat soort afhankelijkheden en vereiste voor je zijn en security zeer belangrijk voor je is, dan forceer je toch sowieso pre boot authentication al? Ik zie dat in ieder geval regelmatig terug komen als eis (als je aan bepaalde maatstaven moet voldoen) of aanbeveling
Reageer
Tourmaline @Dennism14 mei 2026 11:30
Zou je wel denken maar heeft iedereen alles op orde?!
Reageer
mahsalti 14 mei 2026 10:38
Zover ik hierover gelezen heb leest dit de tpm2 sleutel wat in plain text naar de kernel wordt gestuurd. Dit kan verholpen worden wanneer de key versleuteld verstuurd wordt naar de kernel.

Ik weet niet hoe LUKS hiermee omgaat in Linux, in theorie zou het dus ook in Linux moeten werken mins het in plain text verstuurd wordt vanuit TPM2 naar de kernel. Wellicht kan iemand anders dit bevestigen.

Dit kan met zo'n raspberry pi zero binnen 1 minuut uitgevoerd worden.
Reageer
jumbos7 @mahsalti14 mei 2026 10:48
Zelfs als de TPM2 de sleutel in plain text verstuurd naar de kernel rijst bij mij vooral de vraag waarom een usb sleutel toegang krijgt tot communicatie tussen de TPM2 en kernel. Als dat niet mogelijk zou zijn wordt het al een stuk lastiger om de bitlocker encryptie te kraken.

[Reactie gewijzigd door jumbos7 op 14 mei 2026 11:32]

Reageer
Tourmaline @jumbos714 mei 2026 11:09
Voor mensen die op een oude machine windows 11 draaien geldt dit dus niet. Daar zitten geen tpm2 chips op.
Reageer
Dutch_CroniC @Tourmaline14 mei 2026 11:34
Maar die hebben dan sowieso al geen bitlocker toch, aangezien een tpm nodig is om dit te kunnen activeren?
Reageer
Tourmaline @Dutch_CroniC14 mei 2026 11:38
Je kunt ook een 1.4 tpm chip hebben. Bitlocker is dan vanuit Windows wel te activeren volgens mij.
Reageer
Dennism @Dutch_CroniC14 mei 2026 11:52
Je kan ook bitlocker activeren zonder TPM, je bent dan achter wel verplicht om pre-boot authenticatie te gebruiken met een wachtwoord of fysieke unlock sleutel (USB stick bijvoorbeeld, mogelijk dat iets als een yubikey er ook voor te gebruiken is). Zie bijv. BitLocker without TPM: The Complete Security Analysis, Configuration, and Hardening Guide voor wat duiding.
Reageer
JJ Le Funk @jumbos714 mei 2026 10:54
ik vermoed vanwege system-recovery vereisten waarbij de gebruiker via USB toegang moet kunnen krijgen tot zijn data.
Reageer
Tourmaline @JJ Le Funk14 mei 2026 11:10
Zoals ik het lees klopt het inderdaad dat het alleen werkt via system recovery, niet in gewoon Windows!

"Deze speculatie berust op het feit dat de misbruikte kwetsbaarheid alleen zit in een Windows-component die aanwezig is in het image van de Windows Recovery Environment. Het component bevindt zich ook in een reguliere Windows-installatie, maar heeft dan niet de functionaliteit waarin de bug zit die het omzeilen van BitLocker mogelijk maakt, legt de hacker uit in de documentatie bij YellowKey."
Reageer
TheBlackbird 14 mei 2026 10:48
Dit kan toch alleen maar wanneer er geen passphrase of pin nodig is? Dan is het TPM-chip -> boot -> auto-unlock. Als een laptop in zijn geheel op de vuilnisbelt ligt dan hoef je gewoon maar te booten.

Dus ik ga ervanuit dat het probleem is dat als je enkel de schijf hebt, je vervolgens kan unlocken met WinRE, wellicht omdat die de Microsoft-keys bevat die nodig zijn voor een trusted bootchain zodat de TPM unlockt.

Encryptie met een pin/pass kun je immers niet 'bypassen': de data is encrypted. De enige optie is dan dat de key ergens stiekem wordt bewaard, maar dat lijkt me in deze context niet het geval te zijn.

PS: De screenshot van de password prompt in het artikel is wat misleidend, dit is net de case waarin deze bypass niet werkt.

[Reactie gewijzigd door TheBlackbird op 14 mei 2026 10:59]

Reageer
Blokker_1999
@TheBlackbird14 mei 2026 11:18
Ik mag toch echt hopen dat de sleutels niet gewoon leesbaar op de WinRE partitie staan, maar dat op die WinRE gewoon de correcte identifiers beschikbaar zijn gesteld om de key te kunnen opvragen vanuit de TPM.

En gegeven dat het aanzetten van de BitLocker PIN al voldoende lijkt te zijn om deze hack te voorkomen lijkt ook te bevestigen dat de sleutel zelf nog altijd enkel en alleen in de TPM bewaard blijkt te zijn.
Reageer
klakkie.57th @Blokker_199914 mei 2026 11:46
preboot lijkt niet te helpen.

I asked myself this question, can it still work in a TPM+PIN environment ? Yes it does, I'm just not publishing the PoC, I think what's out there is already bad enough.
Reageer
Dennism @klakkie.57th14 mei 2026 11:56
Zonder context kan je daar niet veel mee op deze manier. Bijv. Preboot + pin is bad als hij het voor elkaar krijgt zonder de pin in te geven (maar dan zou het volgens mij . Maar als hij het voor elkaar krijgt door de pin in te geven en dan hetzelfde trucje uit te halen zou dat weer vrij normaal zijn. Immers dan ben je alw
Reageer
gertvdijk 14 mei 2026 10:56
Ik vind de woordkeuze een beetje verwarrend – niet alleen hier maar ook door de ontdekker. In mijn hoofd wordt er namelijk niets omzeild qua versleuteling. De TPM geeft gewoon de sleutel zoals met een normale boot (key material wordt niet door gebruiker gegeven of geseed). Stel dat je een gestolen laptop in handen hebt en start die op, dan boot die tot het login scherm en is de disk ook 'unlocked'. Wat YellowKey doet is het mogelijk maken om het account login scherm te bypassen, behalve dat die dat doet in de recoverymodus ipv reguliere Windows boot. Daarom vind ik dat het geen BitLocker bypass is maar een authenticatie bypass; de OS access boundaries worden hier omzeild, BitLocker is dan al 'open' op de manier die zo is ontworpen het volume te ontsleutelen. 'kraakt BitLocker encryptie' zoals in de titel vind ik daarom de plank misslaan.

En mensen zouden helemaal niet verrast moeten zijn dat toegang tot een versleutelde disk mogelijk is als die zonder apart gescheiden key material kan worden ontsleuteld. Technisch gezien was alles al aanwezig en was het wachten op een bypass van die laatste toegangsdeur.

[Reactie gewijzigd door gertvdijk op 14 mei 2026 11:02]

Reageer
Danfoss @gertvdijk14 mei 2026 11:28
Inderdaad. Dit is helemaal geen bitlocker hack, het is een windows RE 'feature' waarbij je door een flag te zetten een admin elevated cmd prompt krijgt.

Bitlocker heeft er helemaal niets mee te maken behalve dat met het zetten van een bitlocker pin je voorkomt dat je boot en hiermee voorkomt dat iemand dit gebruikt.
Reageer
Tha Deo 14 mei 2026 10:42
Zou het werkelijk een bewuste backdoor zijn? Kan me niet voorstellen dat MS deze kans op een zeer negatieve imago hierdoor riskeert.
Reageer
Tourmaline @Tha Deo14 mei 2026 10:52
Microsoft doet gewoon wat Trump/de Amerikaanse overheid wil. En dat is controle...
Reageer
Rixter223 @Tourmaline14 mei 2026 11:01
Er zijn wel meer overheden die een backdoor willen in software en dan niet alleen China, Rusland en Noord Korea dictaturen. Ook Engeland bijvoorbeeld wil toegang tot systemen van Apple.

https://www.security.nl/posting/875339/%27VK+eist+backdoor+van+Apple+die+toegang+tot+versleutelde+back-ups+geeft%27
Reageer
Dennism @Tha Deo14 mei 2026 11:28
Ik vermoed dat dit wat overtrokken is, zeker ook het feit dat er immers bekende mitigations zijn om dit (en wat vergelijkbare zaken) tegen te gaan. Zie ook deze post voor meer duiding van deze mitigations.
Reageer
caipirinha @Tha Deo14 mei 2026 11:33
Het is 100% een NSA backdoor, uit het verleden kun je simpel afleiden dat dat de meest logische verklaring is, het is niet bewijsbaar maar windows is geen veilig OS voor kritische data.

Ik gebruik nog steeds truecrypt op een externe spinning disk en de ontwikkelaars daarvan zijn waarschijnlijk ook onder druk gezet (van de NSA of FSB ?) om een backdoor in te bouwen. Hetzelfde met ironkey, leek leuk maar is ook gecompromitteerd.

Ik weet niet hoe het staat met LUKS maar ik hou mijn hart vast ondanks dat het opensource is, Bitlocker en LUKS zijn goed genoeg voor mijn belastingaangifte maar als journalist/activist zou ik er niet teveel op vertrouwen.
Reageer
paradoXical 14 mei 2026 10:41
Merendeel van de Windows gebruikers zal inmiddels op Windows 11 zijn overgestapt. Gelukkig is Windows 10 niet geraakt, lijkt me dat veruit de meeste zoekgeraakte/gestolen devices Windows 10 draaien.
Reageer

Om te kunnen reageren moet je ingelogd zijn