[English]Seit November 2022 ist bekannt, dass es eine Bitlocker-Bypass-Schwachstelle CVE-2022-41099 im Windows Recovery Environment (WinRE) gibt. Das Patchen ist aber alles andere als einfach (siehe Blog-Beitrag Windows 10: "Schlagloch" Win RE-Patch zum Fix der Bitlocker-Bypass-Schwachstelle CVE-2022-41099). Nun hat Microsoft ein Script veröffentlicht, um den WinRE BitLocker Bypass-Fix auf den Systemen zu installieren.
Anzeige
Fix für Bitlocker-Bypass-Schwachstelle in Win RE
Im November 2022 versuchte Microsoft eine in seiner Win RE-Umgebung entdeckte Schwachstelle CVE-2022-41099, über die sich Bitlocker aushebeln lässt, per Update zu schließen.
- In allen betroffenen Windows 10-Systemen kann ein erfolgreicher Angreifer die BitLocker Device Encryption-Funktion auf dem Systemspeichergerät umgehen.
- Der Angreifer benötigt aber einen physischen Zugriff auf das Zielgerät, um die Schwachstelle auszunutzen, um Zugriff auf verschlüsselte Daten zu erhalten.
- Zudem lässt sich die Schwachstelle laut Microsoft nicht ausnutzen, wenn der Benutzer den BitLocker TPM+PIN-Schutz aktiviert hat.
Es gibt zwar einen Patch zum Schließen der Schwachstelle – aber dessen Installation ist mit manuellen Eingriffen verbunden und es gab viele Probleme. Ich hatte im Beitrag Windows 10: "Schlagloch" Win RE-Patch zum Fix der Bitlocker-Bypass-Schwachstelle CVE-2022-41099 erstmals über dieses Thema berichtet. Später ergänzte Microsoft seine FAQ zur BitLocker Security Feature Bypass Vulnerability CVE-2022-41099-Problematik und zum Beheben. Ich hatte das im Nachfolgebeitrag Windows 10: Neues zum WinRE-Patch (Fix der Bitlocker-Bypass-Schwachstelle CVE-2022-41099) aufgegriffen.
Erneute Nachbesserung durch Microsoft
Ich bin nach den obigen Beiträgen daher davon ausgegangen, dass das Thema weitgehend vom Tisch sei. Nun habe ich heute Früh bei den Kollegen von Bleeping Computer gesehen, dass Microsoft erneut nachbessert und ein Script zum Schließen der Schwachstelle über ein verfügbares Update bereitstellt. Blog-Leser haben mich zudem per Mail und in Kommentaren auf diese Neuerungen hingewiesen (danke dafür).
Am gestrigen Donnerstag, den 16. März 2023, hat Microsoft seinen Supportbeitrag KB5025175: Updating the WinRE partition on deployed devices to address security vulnerabilities in CVE-2022-41099 veröffentlicht. Der Beitrag richtet sich an Administratoren von Windows 10 und Windows 11, die die Bitlocker-Bypass-Schwachstelle CVE-2022-41099 im Windows Recovery Environment (WinRE) bisher nicht geschlossen haben.
Anzeige
Microsoft hat ein PowerShell-Beispielskript entwickelt, mit dem Administratoren die Aktualisierung der Windows-Wiederherstellungsumgebung (WinRE) auf bereitgestellten Geräten automatisieren, und die Schwachstelle CVE-2022-41099 beseitigen können. Das Script ist in einer administrativen Eingabeaufforderung oder PowerShell-Konsole unter Windows 10/11 auszuführen.
Auf der Microsoft-Supportseite gibt es eine Version des PowerShell-Scripts für Windows 10 Version 1909 und früher, welches sich aber auf allen Versionen von Windows 10 und Windows 11 verwenden lassen soll. Zusätzlich hat Microsoft ein zweites (angebliches robusteres) PowerShell-Script veröffentlicht, welches Windows 10 ab Version 2004 und Windows 11 ab Version 21H2 unterstützt.
Die Scripte werden im Quellcode angezeigt und müssen in eine .ps1-Datei kopiert werden. Dann benötigen Administratoren noch das auf das Windows-System passende dynamische Update mit der aktualisierten Win RE-Umgebung aus dem Microsoft Update Catalog. Die Vorgehensweise beim Patchen ist im Supportbeitrag KB5025175: Updating the WinRE partition on deployed devices to address security vulnerabilities in CVE-2022-41099 beschrieben.
Ähnliche Artikel:
Windows 10: "Schlagloch" Win RE-Patch zum Fix der Bitlocker-Bypass-Schwachstelle CVE-2022-41099
Windows 10: Neues zum WinRE-Patch (Fix der Bitlocker-Bypass-Schwachstelle CVE-2022-41099)
Anzeige
An welcher Stelle haben die eigentlich "copy&Paste" und "Codeblöcke" nicht verstanden? Ist das so schwer?
Mit Maus/Tastatur markieren zum kopieren ist so 90ies …
Ich habe ja immer noch nicht verstanden, wie es helfen soll, die winRE.wim zu patchen. Ein Angreifer kann die Lücke nur nutzen, wenn er physisch Zugriff auf den Rechner hat. Dann kann er aber auch die gepatchte wim gegen eine ungepatchte austauschen. Wieso soll das nach dem Patch nicht mehr möglich sein? Hat jemand eine Erklärung für mich?
Kann er im Normalfall nicht, da UEFI-Bootlock und somit das Fremdstarten nicht möglich ist. Er könnte die Festplatte ausbauen und das WIM-Image tauschen, könnte ich mir vorstellen. Aber dann hat man sowieso ganz andere Probleme.
> Er könnte die Festplatte ausbauen und das WIM-Image tauschen, könnte ich mir vorstellen.
> Aber dann hat man sowieso ganz andere Probleme.
Warum? Bitlocker soll(te) doch gerade auch bei einem verlorenen Gerät (Laptop…) vor fremden Datenzugriff schützen.
Die Ganze Geschichte ist ohnehin undurchsichtig bis zum Gehtnichtmehr .
Und der Umgang seitens Microsoft wieder mal ein Armutszeugnis.
Unterm Strich würde ich mal frech behaupten:
Entweder ist Bitlocker nun praktisch unfixbar gebrochen oder die Sache ist (sofern man sich nicht nur (und das sollte man ohnehin nicht) auf TPM verlässt) halb so wild.
Grüße Martin
Im Update Katalog fehlt irgendwie das passende Update für 21h2 x64. Es ist schlicht weg nicht vorhanden.
Das ist eh alles ganz großes Kino. Wieso wird das nicht automatisch gepatcht?
@Andreas:
Ich vermute (und hoffe) mit Secureboot enabled würde das TPM den Bitlocker Key sperren, wenn man an der Recoverypartition (offline) herumfummelt.
Das sollte doch hierunter zu finden sein, oder?
https://www.catalog.update.microsoft.com/Search.aspx?q=Safe%20OS%2021H2
https://catalog.s.download.windowsupdate.com/c/msdownload/update/software/crup/2022/11/windows10.0-kb5021043-x64_efa19d2d431c5e782a59daaf2d04d026bb8c8e76.cab
Interessant finde ich folgenden Hinweis in dem KB-Artikel:
[…]the script will perform the following steps:[…]
4. If the BitLocker TPM protector is present, reconfigures WinRE for BitLocker service.
Important This step is not present in most third-party scripts for applying updates to the WinRE image.
Dabei geht es wohl um den folgenden Codeblock:
if (IsTPMBasedProtector)
{
# Disable WinRE and re-enable it to let new WinRE be trusted by BitLocker
LogMessage("Disable WinRE")
reagentc /disable
LogMessage("Re-enable WinRE")
reagentc /enable
reagentc /info
}
Siehe auch:
https://www.deskmodder.de/blog/2023/03/17/windows-11-10-aktualisierung-der-winre-partition-zur-korrektur-der-sicherheitsluecke-cve-2022-41099-kb5025175/
Hallo, mal ne Verständnissfrage zu dem Problem.
Betroffen ist hier "nur" die sogenannte "BitLocker-Geräteverschlüsselung", welche jetzt neuerdings bei den meisten neu gekauften Geräten aktiviert ist. D.h. die Verschlüsselung welche zwar die Festplatte verschlüsselt, aber den Key dafür im TPM speichert und diesen beim booten automatisch freigibt, sofern die Integritätsprüfung der Bootkomponenten OK ist (wenn man nicht noch eine PIN dafür gesetzt hat).
Das "normale" Bitlocker was man mit einem Passwort während des Boot-Vorgangs freischaltet (aber erst ab den Pro-Versionen dabei ist) dürfte von dem Problem mit dem kaputten WinRE völlig unberührt sein, oder habe ich da was falsch verstanden.
Also ich habe es so verstanden, dass die Lücke bei BitLocker TPM+PIN protection eben nicht ausgenutzt werden kann.
Siehe auch: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41099
Daraus:
"Kann bei Verwendung des TPM+PIN-Schutzes von BitLocker diese Sicherheitsanfälligkeit ausgenutzt werden, wenn der Angreifer die TPM-PIN nicht kennt?
Nein. Um die Sicherheitsanfälligkeit auszunutzen, muss der Angreifer die TPM-PIN kennen, wenn der Benutzer durch BitLocker TPM+PIN geschützt ist."
Ja OK danke.
Wenn es schon mit TPM+PIN nicht geht, dann kann auch die klassische Bitlocker Verschlüsselung mit Pre-Boot Authentication nicht betroffen sein.
Diese sog. "Geräteverschlüsselung" ohne Passwort bzw. wenigstens einer PIN finde ich ehrlich gesagt sowieso wenig nützlich.
"Wenn es schon mit TPM+PIN nicht geht, dann kann auch die klassische Bitlocker Verschlüsselung mit Pre-Boot Authentication nicht betroffen sein."
Ich bin jetzt kein "Crack"; aber wenn Microsoft EXPLIZIT darauf hinweist, dass "sich die Schwachstelle nicht ausnutzen lässt, wenn der Benutzer den BitLocker TPM+PIN-Schutz aktiviert hat" (siehe auch ganz oben), würde ich mal davon ausgehen, dass ALLE ANDEREN Varianten angreifbar sind.
Das Script von Microsoft unterstützt ja nur Windows 10/11.
Hat jemand Info, wie man SafeOS an Windows Server 2016, 2019, 2022 aktualisiert?