Morten Lyhne Petersen
En offentliggjort sårbarhed kaldet YellowKey kan omgå BitLocker-beskyttelsen på en Windows 11-laptop, hvis angriberen har fysisk adgang.
Fejlen kræver fysisk adgang og en USB-pind, og den findes i selve genoprettelsesmiljøet bag BitLocker, ikke i krypteringen. Microsoft har endnu kun udsendt manuelle modtræk og ingen sikkerhedsopdatering.
Hullet har fået betegnelsen CVE-2026-45585 og er beskrevet i Microsofts officielle sikkerhedsmeddelelse. Det er klassificeret som en omgåelse af en sikkerhedsfunktion og rammer flere nye versioner af Windows.
Hvilke maskiner er sårbare
Berørte systemer er Windows 11 i versionerne 24H2 og 25H2 samt Windows Server 2025. Windows 10 er ifølge Help Net Security ikke ramt.
Sådan fungerer angrebet
YellowKey blev offentliggjort af en sikkerhedsforsker. Angriberen lægger en specielt udformet mappe med såkaldte FsTx-filer på en USB-pind, hvorefter maskinen startes om i Windows Recovery Environment (WinRE), det indbyggede gendannelsesmiljø.
Når WinRE behandler de manipulerede filer, ender gendannelsesmiljøet med at give adgang til den krypterede disk uden om BitLocker. Angrebskæden er gennemgået i en offentlig teknisk analyse.
Selv om BitLocker normalt regnes for en af branchens stærkere diskkrypteringsløsninger, omgås beskyttelsen helt, fordi koden afvikles i et lag, der eksisterer før operativsystemet starter.
Microsofts midlertidige modtræk
Microsoft har ikke meldt en dato ud for en egentlig opdatering, men har udsendt en midlertidig mitigation, som SecurityWeek har gennemgået. Den tekniske procedure kræver typisk en it-administrator og udføres på WinRE-billedet.
Sådan tjekker du din egen laptop
For private brugere er det mest realistiske modtræk at skifte fra “TPM-only” til “TPM+PIN”, så BitLocker kræver både TPM-chippen på bundkortet og en personlig kode, før disken låses op.
For at se din nuværende konfiguration åbner du Kommandoprompt som administrator og kører:
manage-bde -protectors -get C:
Står der kun TPM, bruger du den mest udsatte indstilling. Står der TPM And PIN, har du allerede ekstra beskyttelse.
PIN-kode kan tilføjes fra en PowerShell-session med administratorrettigheder. Se Microsofts egen vejledning til BitLocker-konfiguration for den korrekte kommando til din version af Windows.
Du bliver bedt om at vælge en pinkode. Efter næste genstart skal koden indtastes, før Windows overhovedet begynder at starte op.
