
Twee naamsbekende kwetsbaarheden — YellowKey en Bitskrieg — laten zien dat BitLocker zonder opstartpincode te omzeilen valt. De permanente fix staat in de juni 2026 Patch Tuesday. Maar patchen alleen is niet genoeg: wie TPM-only blijft gebruiken, loopt structureel risico. Wat zijn de aanvallen, hoe stelt u TPM+PIN in via Intune en wat doet u deze week?
In de eerste helft van juni 2026 stonden twee kwetsbaarheden centraal in beveiligingskringen: YellowKey en Bitskrieg. Beide raken BitLocker, de schijfversleuteling die op vrijwel elke zakelijke Windows-laptop actief is. Wat ze gemeen hebben: ze treffen apparaten die BitLocker hebben ingeschakeld op de meestgebruikte instelling — TPM-only, zonder opstartpincode. De definitieve fix verscheen op 9 juni 2026 als onderdeel van Patch Tuesday, maar patchen lost de onderliggende architecturale zwakte niet volledig op.
YellowKey (officieel CVE-2026-45585) werd begin mei 2026 onthuld door een Nederlandse beveiligingsonderzoeker, compleet met een proof-of-concept op GitHub. Microsoft kon aanvankelijk geen volledige patch leveren en publiceerde een tijdelijke maatregel. Bitskrieg (CVE-2026-50507) volgde hetzelfde traject: een apart exploitpad in dezelfde component, eveneens gefixd in de junironde. IT-teams die beide CVE's kennen en hun Intune-beleid aanpassen, zijn structureel beter beschermd dan organisaties die alleen de patch toepassen.
YellowKey maakt misbruik van het Windows Recovery Environment, de herstelmodus die standaard beschikbaar is op Windows 11 (24H2, 25H2 en 26H1) en Windows Server 2025. Een aanvaller met fysieke toegang — een gestolen of onbeheerd achtergelaten laptop — start het systeem op naar WinRE. Daarin plaatst de aanvaller specifiek voorbereide bestanden op een USB-stick of de EFI-partitie van het apparaat. Via een kwetsbaarheid in hoe WinRE de BootExecute-waarde verwerkt, activeert de aanvaller een opdrachtprompt met toegang tot het BitLocker-beschermde volume.
De reden dat dit werkt op TPM-only apparaten: bij TPM-only BitLocker ontgrendelt de TPM-chip de versleutelingssleutel automatisch bij elke opstart zonder dat de gebruiker iets doet. WinRE erft dat vertrouwen van de hoofdomgeving, mits het herstelimage niet correct is geseald. YellowKey exploiteert precies die gap. Op apparaten met TPM+PIN werkt de aanval niet: de PIN instrueert de TPM de sleutel pas vrij te geven na bevestiging door de gebruiker, ook in WinRE.
De CVSS-score bedraagt 6.8. Dat is niet de hoogste categorie, omdat fysieke toegang vereist is. Maar bij gestolen laptops — een veelvoorkomend bedrijfsincident — is die drempel lager dan hij lijkt. De combinatie van een proof-of-concept en een periode van zes weken zonder definitieve patch zorgde voor aanzienlijke discussie in de beveiligingsgemeenschap.
Bitskrieg (CVE-2026-50507) werkt via een fundamenteel ander mechanisme. Het exploiteert een race-condition in de logica die BitLocker gebruikt om zichzelf opnieuw te sealen na het installeren van een cumulatieve Windows-update. Tijdens het installatievenster staat de volumehoofdsleutel tijdelijk in plaintext in het systeemgeheugen, voordat de TPM de sleutel opnieuw versiegelt.
Een aanvaller met lokale beheerdersrechten kan in dat korte venster de sleutel uitlezen uit een hibernatiebestand of een crashdump. Bitskrieg vereist een hogere drempel dan YellowKey — lokale adminrechten zijn nodig — maar is des te gevaarlijker bij aanvallen waarbij een actor al een eerste voet binnen de organisatie heeft. In combinatie met phishing of een gecompromitteerd beheerderaccount vormt Bitskrieg een realistische escalatieketen.
TPM-only is in de meeste Intune-configuratieprofielen de standaard- of aanbevolen instelling. De motivatie is begrijpelijk: gebruikers hoeven bij elke opstart geen pincode in te voeren, wat weerstand vermindert en het aantal helpdeskoproepen beperkt. Maar beide kwetsbaarheden laten een fundamentele beperking zien: bij TPM-only geeft de chip de sleutel automatisch vrij zodra het systeem in de juiste staat verkeert, ook al heeft de gebruiker zelf niets bevestigd.
Dat is precies de aanvalshoek van YellowKey en Bitskrieg: ze creëren of benutten een situatie die de TPM als 'juiste staat' herkent. TPM+PIN voegt een mens-in-the-loop toe. Zonder de correcte pincode geeft de TPM de sleutel niet vrij — niet in WinRE, niet tijdens een updatecyclus, niet via een crashdump. De PIN is het extra slot dat software-exploits in de pre-boot omgeving neutraliseert.
De definitieve beveiligingsupdates voor YellowKey en Bitskrieg zijn uitgebracht op 9 juni 2026 als onderdeel van de reguliere maandelijkse update. Apparaten die deze update hebben ontvangen, zijn beschermd tegen de bekende exploitpaden. Controleer in uw Intune-dashboard via Reports > Windows updates of alle apparaten de junironde hebben verwerkt. Apparaten die achterlopen verdienen prioriteit; zoek eventueel naar patroon in oudere hardwaremodellen of niet-automatisch bijgewerkte branches.
Één voorbehoud: de patch dicht de specifieke kwetsbaarheden, maar lost de architecturale zwakte van TPM-only niet op. Een toekomstige kwetsbaarheid in WinRE of de BitLocker-reseal-logica kan opnieuw via TPM-only apparaten worden benut. De lessen van YellowKey en Bitskrieg zijn structureel: TPM+PIN is de verdediging in de diepte die toekomstige varianten voorkomt.
Het aanpassen van het BitLocker-opstartbeleid in Intune gaat via Endpoint Security of een Settings Catalog-profiel. Navigeer naar Endpoint Security > Disk encryption en open het bestaande BitLocker-profiel, of maak een nieuw Windows-profiel aan via Devices > Configuration profiles > Settings Catalog.
De relevante instelling heet 'Require additional authentication at startup.' Zet deze op Enabled. Stel vervolgens 'Configure TPM startup PIN' in op 'Require startup PIN with TPM.' Sla het profiel op en wijs het toe aan de doelgroep.
Vier aandachtspunten bij de uitrol. Ten eerste, gebruikers van reeds versleutelde apparaten moeten eenmalig een PIN instellen. Communiceer dit vooraf en wijs op de Company Portal of stuur een instructie via e-mail. Het PIN-verzoek verschijnt bij de eerstvolgende herstart. Ten tweede, de minimale PIN-lengte is zes tekens en de maximale twintig. Adviseer gebruikers een PIN te kiezen die zij niet gelijkstellen aan hun Windows-wachtwoord. Ten derde, leg alle BitLocker-herstelsleutels vast in Entra ID. Als een gebruiker zijn PIN vergeet, haalt de IT-afdeling de herstelsleutel op via het Entra-portaal. Ten vierde, stel een Intune-compliance policy in die controleert op BitLocker-versleuteling met herstelsleutel-opslag in Entra — apparaten zonder registreerde herstelsleutel gelden dan als niet-compliant.
Vier acties voor de komende werkdagen. Ten eerste, verifieer dat de juni 2026-updates zijn verwerkt op alle Windows-apparaten. Gebruik de updaterapportage in Intune of de Defender-portal om achterlopende apparaten te identificeren. Ten tweede, controleer uw huidige BitLocker-beleid. Staat 'Require additional authentication at startup' op Not Configured of op TPM-only? Dan is aanpassing nodig. Ten derde, plan een gefaseerde uitrol van TPM+PIN. Begin met een pilotgroep van vijf tot tien apparaten, evalueer de gebruikerservaring en de herstelsleutelopslag, en schaal daarna op. Ten vierde, zorg dat herstelsleutels worden gesynchroniseerd naar Entra ID voor alle versleutelde apparaten in uw vloot. Een quick win is het uitvoeren van een Intune-query op apparaten zonder geregistreerde sleutel.
YellowKey en Bitskrieg onderstrepen dat schijfversleuteling geen statische beveiligingsmaatregel is. Het beleid vraagt periodieke herziening naarmate het dreigingslandschap en de Windows-architectuur evolueren. Wilt u hulp bij het herzien van uw BitLocker-beleid in Intune, het uitrollen van TPM+PIN of het valideren van uw herstelsleutelopslag in Entra? Neem contact op met Zarioh voor een vrijblijvend gesprek.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.