[English]Noch ein kleiner Nachtrag zum August 2024-Patchday in Bezug auf Bitlocker. Mit den Juli 2024-Updates hatte es ja das Problem gegeben, dass Systeme beim nächsten Neustart in einer Abfrage des Bitlocker-Recovery-Keys verharrten. Wohl dem, der den entsprechenden Key bereit hatte. Mit den Sicherheitsupdates vom 13. August 2024 will Microsoft nun diesen Bitlocker-Abfrage-Bug in allen betroffenen Windows-Versionen beseitigt haben. Letztendlich wurde aber nur die Ursache durch Deaktivierung des Juli 2024-Patches zurückgenommen. Wer die Schwachstelle CVE-2023-24932 beseitigen will, muss manuell eingreifen.
Anzeige
Was war das Bitlocker-Abfrage-Problem?
Nach der Freigabe der Juli 2024-Updates erreichten mich sehr zeitnah Lesermeldungen, dass diese Updates beim Neustart der Systeme eine Abfrage des Bitlocker Recovery-Keys erzwingen. Als erstes hat sich Blog-Leser Sven1403 mit diesem Kommentar gemeldet, und schrieb zum 11. Juli 2024, dass es in seinem Umfeld einige Fälle gab, wo der Bitlocker Recovery-Schlüssel nach dem Neustart nach der Update-Installation abgefragt wurde.
Ich hatte diesen Sachverhalt zeitnah im Blog-Beitrag Windows 10/11 Updates (z.B. KB5040442) triggern Bitlocker-Abfragen (Juli 2024) angerissen, dort aber nur auf Windows 10 und Windows 11 bezogen. Microsoft hatte dann das Problem zum 23. Juli 2024 bestätigt und den Eintrag Devices might boot into BitLocker recovery with the July 2024 security update im Windows 11 23H2 Release Health-Dashboard veröffentlicht. Ich hatte das zeitnah im Blog-Beitrag Microsoft bestätigt Bitlocker-Abfragen durch Windows Juli 2024-Updates darüber berichtet.
August 2024-Update 'korrigiert' den Bitlocker-Bug
Toni hatte hier gefragt, ob der Bitlocker-Fehler mit dem August 2024-Updates behoben sei. Das war implizit in meinen am Artikelende verlinkten Beiträgen zum August 2024-Patchday angesprochen (siehe Patchday: Windows 10/Server-Updates (13. August 2024)). Microsoft hat bei den diversen Updates für Windows folgenden Hinweis platziert:
[BitLocker (known issue)] A BitLocker recovery screen shows when you start up your device. This occurs after you install the July 9, 2024, update. This issue is more likely to occur if device encryption is on. Go to Settings > Privacy & Security > Device encryption. To unlock your drive, Windows might ask you to enter the recovery key from your Microsoft account.
Ich habe aber gerade mal im Windows 11 23H2 Release Health-Dashboard beim Eintrag Devices might boot into BitLocker recovery with the July 2024 security update nachgeschaut. Microsoft gibt dort explizit an, dass das Bitlocker-Abfrageproblem, verursacht durch die Juli 2024-Sicherheitsupdates, im August behoben wurde.
Anzeige
Resolution: This issue was resolved by Windows updates released August 13, 2024 (KB5041585), and later. We recommend you install the latest update for your device as it contains important improvements and issue resolutions, including this one.
Die betroffenen Windows-Versionen wurden von Microsoft dabei folgendermaßen angegeben:
- Windows 11 Version 21H2 – 23H2
- Windows 10 Version 21H2 – 22H2
- Windows 10 Enterprise 2015 LTSB
- Windows Server 2022,
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2
- Windows Server 2008
Die betreffenden August 2024-Updates werden in den am Artikelende aufgelistete Beiträgen zum August 2024-Patchday genannt. Bei den Windows Server-Versionen, die aus dem Support gefallen sind, wird aber eine ESU-Lizenz benötigt, um die Patches installieren zu können.
Was hinter dem "Fix" steckt
Noch ein kleiner Schlenker im Nachgang, bzw. ein Blick darauf, was bei Microsoft "Problem beseitigt" heißt. Leser haben ja bereits darauf hingewiesen, und die Kollegen von Bleeping Computer haben es in diesem Artikel angesprochen. Die Information, was passiert ist, steckt im Microsoft Advisory CVE-2024-38058 vom 9. Juli 2024, welches auf eine Bitlocker-Bypassing-Schwachstelle eingeht, die im Juli 2024 gefixt wurde. Mit einem Update des Advisory CVE-2024-38058 zum 13. August 2024 gibt Microsoft folgendes bekannt:
- Als Kunden den Fix (per Juli 2024-Update) für diese Schwachstelle auf ihren Geräten installierten, gab es Rückmeldungen über Inkompatibilitätsprobleme mit der Firmware. Diese führten dazu, dass BitLocker auf einigen Geräten in den [oben erwähnten] Wiederherstellungsmodus wechselte.
- Aus diesem Grund hat Microsoft mit der Veröffentlichung der Sicherheitsupdates vom August 2024 für Windows den Fix vom Juli 2024-Update schlicht deaktiviert. Kunden, die diesen Schutz wünschen, können die in KB5025885 beschriebenen Abhilfemaßnahmen anwenden.
Wer den Supportbeitrag KB5025885 aufruft, erfährt dort, wie die Widerrufe der Windows Boot Manager-für Secure Boot-Änderungen im Zusammenhang mit CVE-2023-24932 manuell in mehreren Schritten verwaltet und die Systeme gegen die Schwachstelle abgesichert werden können. Diese Schritte lassen sich aber nicht mehr rückgängig machen.
Abschließende Gedanken
Bezüglich Systemen in Unternehmensumgebungen hat Microsoft den Ball ins Feld der Administratoren gespielt. Der Fix für die Bitlocker-Schwachstelle CVE-2024-38058 wurde letztendlich deaktiviert. Die Administratoren müssen die umfangreiche Anleitung von Microsoft abarbeiten, um die Systeme mit Bitlocker gegen die Schwachstelle abzusichern.
Wo das August 2024-Update in meinen Augen allerdings auch nicht hilft, sind Fälle, wo private Rechner mit Windows 10/11 beim Setup automatisch verschlüsselt wurden und der Nutzer den Bitlocker-Recovery-Key nicht kennt und dieser auch nicht zu finden ist. Bleibt das Windows-System beim Booten bei der Abfrage des Bitlocker-Recovery-Keys hängen, und fehlt der Schlüssel, lässt sich auch kein Update deinstallieren und das neue August 2024-Update installieren.
Hier bleibt m.W. nur der Versuch, den Bitlocker-Recovery-Key doch noch zu finden. Dazu hatte ich mal was im Beitrag Windows-Frage: Wo speichert Bitlocker den Recovery-Key? geschrieben.
Mir ist beispielsweise die Tage ein Fall untergekommen, wo ein Windows Home-System automatisch verschlüsselt worden war und nun der Key abgefragt wurde. Im aktuellen Microsoft-Konto fand sich der Bitlocker-Recovery-Key aber nicht. Dann ist dem Betreffenden eingefallen, dass er zur Inbetriebnahme mal ein Microsoft-Konto eingerichtet, dieses aber aus Windows entfernt hatte. Glücklicherweise war er noch in der Lage, sich an einem anderen Rechner am betreffenden Microsoft-Konto anzumelden und fand dort den Recovery-Key.
Auch dieser Fall zeigt, wie arg das Ganze inzwischen am seidenen Faden hängt. Ein beim Setup genutztes Microsoft-Konto, welches später vom Benutzer gelöscht oder von Microsoft gesperrt wird, kickt die Leute dann aus dem System. Ohne Bitlocker-Recovery-Key bleibt nach meinem bisherigen Kenntnisstand dann nur noch eine Neuinstallation des Systems, falls Windows einen solchen Key beim Booten erfordert. Ihr könnt mich ja korrigieren, falls ich etwas übersehen habe.
Ähnliche Artikel:
Microsoft Security Update Summary (9. Juli 2024)
Patchday: Windows 10/Server-Updates (13. August 2024)
Patchday: Windows 11/Server 2022-Updates (13. August 2024)
Windows Server 2012 / R2 und Windows 7 (13. August 2024)
Microsoft Security Update Summary (9. Juli 2024)
Patchday: Windows 10/Server-Updates (9. Juli 2024)
Patchday: Windows 11/Server 2022-Updates (9. Juli 2024)
Windows Server 2012 / R2 und Windows 7 (9. Juli 2024)
Microsoft bestätigt Bitlocker-Abfragen durch Windows Juli 2024-Updates
Windows 10/11 Updates (z.B. KB5040442) triggern Bitlocker-Abfragen (Juli 2024)
Windows 10/11 Home-Edition und die OEM Bitlocker-Falle
Windows-Frage: Wo speichert Bitlocker den Recovery-Key?
Anzeige
Naja ne Neuinstallation ist ja in ner halben Stunde erledigt… wer clever ist hat sowieso nen Backup (wer keines hat hat auch keine wichtige Daten!)
Für meine System liegen "Golden Images" vor plus Backups…da ärger ich mich doch nicht tagelang mit Spurensuche und Lösungssuche rum, wenn alles innerhalb ner halben Stunde wieder "state of art" ist.
Mann kann sich das Leben auch unnötig schwer machen!
Ich korrigiere mal: Microsoft kann uns das Leben unnötig schwer machen…
Das Leben könnte so schön und einfach sein ohne Microsoft …
Das ist ja alles gut und schön aber es gibt auch Normalbenutzer die mit ihrem PC einfach nur arbeiten bzw. private Dinge erledigen möchten. Und denen werden in der Home Version die Updates von Microsoft reingedrückt ohne dass sie wissen was da genau im Hintergrund passiert. Die drücken nur auf neustarten und gehen davon aus das ihr PC danach wieder funktioniert wie vorher. Wenn Microsoft da regelmäßig die Updates verkackt und dann von Privatpersonen erwartet dass sie den Bitlocker-Wiederherstellungsschlüssel parat haben wenn die nicht mal wissen dass ihre Festplatte überhaupt mit Bitlocker verschlüsselt ist find ich das schon dreist. Zumal Windows ja auch gern mal der Meinung ist Bitlocker zu aktivieren ohne dass der Benutzer das will und weiß. Und ein Verweis darauf dass der Schlüssel ja im Microsoftkonto hinterlegt wäre ist auch dreist denn wer keines hat und keines will dem zeigt man damit noch einmal den Mittelfinger aus Redmond.
der Home Anwender hat ein online Konto und in dem ist der WdH Schlüssel gespeichert. wo er hingehört und wo er auch sein sollte.
das Ding mit dem Kollegen von der Feuerwehr ist ein Einzelschicksal:-) wer mehr als ein Online-Konto hat, muss halt in beiden schauen …
trotzdem ist es nervig und unglaublich ermüdend sich jedem Monat aufzuregen.
Warum hat der Home-User ein Microsoft Konto zu haben? Nur weil Microsoft so will? Es kann ja Windows-Benutzer geben die diese Gängelmaßnahme nicht mitmachen wollen und dann eben nicht einmal aus nicht nachzuvollziehenden Gründen mit gesperrtem Rechner dastehen wollen. Dir ist schon bekannt dass Microsoft die Konten nach Gutdünken sperren kann? Kann man im Internet nachlesen.
wenn er kein online Konto hat, hat er sich mit dem System auseinandergesetzt, um Drumherum zu kommen.
wenn bitlocker dann aktiv ist, hat er es selbst gemacht. bitlocker aktiviert sich nicht ohne Sicherung des Schlüssels.
bei Aktivierung musste er den Wdh Schlüssel drücken oder auf einem anderen Medium speichern..
der Rest ist whataboutism.
ich kenne keinen dessen Konto gesperrt wurde. du? scheint wohl prozentual keine gängige Bedrohung zu sein.
Und wenn der Home Anwender gar nicht weiß, dass sein System mit Bitlocker verschlüsselt ist, weiß er auch nicht, dass er in seinem M$-Konto danach suchen muss. Und wenn er keinen zweit-PC hat muss er sich erst jemanden suchen, bei dem er an sein Konto kommt.
Ich kenne mehrere Leute, denen es so geht. Da hatte man im Berufsleben nie etwas mit Computern zu tun, hat sich als Rentner im MediaMarkt einen Laptop gekauft. Zuhause eingeschaltet, die Einrichtung noch gerade so hinbekommen und dann zum Surfen und Mailen benutzt. Von all den Dingen, über die wir hier schreiben, wissen diese Leute gar nichts.
… und wer sagt, das die sich selber helfen müssen?
die haben ja keine Ahnung, also fragen sie den Enkel, den Nachbarn oder Computer einpacken, zum Computershop deines Vertrauens, 20 Minuten später, fertig.
natürlich ist das ein monatlich ärgerlicher Sche**s, aber die Leute hätten dasselbe Problem bei anderen scenarien.
nebenbei, Android und Apple verschlüsseln ihre Geräte auch. da fällt es nur nicht auf, weil ALLES in der Cloud gespeichert wird und ALLE finden es gut.
Wer das so macht wie Du vorgibst, hat auch den Schlüssel gesichert.
.. und ist kein normaler Home Anwender.
Microsoft hat das Thema Backup vollständig vernachlässigt, ja liefert etwas aus, das nur vorgibt ein Backup zu sein.
Wenn ich da an Apple mit seiner genialen Timemaschine denke.
Welten..
Das Microsoft Marketing hatte festgestellt, das sich Anti Virus besser verkauft, und alle sowie nur restore wollen, kein Backup.
> ärger ich mich doch nicht tagelang mit Spurensuche und Lösungssuche rum, wenn alles innerhalb ner halben Stunde wieder "state of art" ist.
Einfach den BL-Code eintippen wäre ja auch zu einfach.
oder es ist umgekehrt?
Microsoft will seinen Sklaven lehren, was es bedeutet nicht treu per Microsoft Account zu installieren?
Es nicht zu benutzen wird ja immer schwerer gemacht.
Und hier wird, natürlich ausversehen, den Sklaven gezeigt, welche Macht der Master hat, und wie gut es ist, genau das zutun, was der Master will.
Traurig, aber vermutlich wahr.
Interessant finde ich da den Artikel von Golem, wonach (wenn ich es richtig verstanden habe) Microsoft lediglich den Juli-Patch wieder deaktiviert und somit das eigentliche Problem (noch) nicht behoben hat.
Zur Nachlese:
https://www.golem.de/news/nach-update-panne-microsoft-deaktiviert-patch-fuer-bitlocker-schwachstelle-2408-188006.html
Ich beobachte eher, dass Bitlocker nach dem August-Patchday auf diversen PCs weiterhin pausiert ist. Offensichtlich hate MS die Zahl der Reboots während des Updates teils falsch eingeschätzt, wir haben PCs, die nur 1 x rebootet haben, andere 2x, aber auch einige, die 3x rebootet haben, bis sie wirklich uptodate waren. Bei denen die nur 1x rebootet haben, ist Bitlocker noch pausiert, die Benutzer, deren PC 3x rebootet haben, mussten ihr Bitlocker-PW einma eingeben.
Bei einigen unserer PCs ist nach dem Update Bitlocker noch pausiert.
Wer das so macht wie Du vorgibst, hat auch den Schlüssel gesichert.
.. und ist kein normaler Home Anwender.
Microsoft hat das Thema Backup vollständig vernachlässigt, ja liefert etwas aus, das nur vorgibt ein Backup zu sein.
Wenn ich da an Apple mit seiner genialen Timemaschine denke.
Welten..
Das Microsoft Marketing hatte festgestellt, das sich Anti Virus besser verkauft, und alle sowie nur restore wollen, kein Backup.
irgendwas stimmt mit der Antwort Funktion nicht.
immer wenn ich direkt antworte, kommt eine Fehler Meldung, das ich das schon geschrieben hätte und es wird nicht dargestellt.
Poste ich noch mal, fehlt der Bezug aber es erscheint sofort.
kannst diesen Hinweis gerne löschen.
Irgend etwas ist da sauer – ich habe aber momentan keinen Nerv, dem nachzugehen.
Ist es nicht so, dass der Fix deaktiviert wurde?
https://www.golem.de/news/nach-update-panne-microsoft-deaktiviert-patch-fuer-bitlocker-schwachstelle-2408-188006.html
So hab ich das auch gelesen. Das wurde nicht gefixt, sondern einfach entfernt. https://www.bleepingcomputer.com/news/microsoft/microsoft-disables-bitlocker-security-fix-advises-manual-mitigation/
Dafür funktioniert jetzt auf der Taskleiste Shift+Rechtsklick nicht mehr. Seit einer Ewigkeit stürzt dabei die explorer.exe ab, jetzt kommt gar kein Kontextmenü mehr und die Applikation wird gleich gestartet.
Das ist mir beim Konfigurieren eines neu gekauften (!) Laptops mit Win11 Home auch passiert. Als erstes werden dann Updates installiert, und beim Reboot sofort der Bitlocker-Key abgefragt. Den muss man sich dann erst mühsam mit einem anderen PC aus dem MS-Konto herausfischen. Mir ist auch nicht klar, wie ich in der Situation Windows hätte neu aufsetzen sollen, wenn ich den Key nicht gefunden hätte.
Super, vielen Dank!
The burner ist auch, daß – war es nur mit Äscher/EntraDie, daß der Bitlocker-Recovery-Key in the cloud gespeichert wird – in the cloud – da gehört der bestimmt hin. Und bitlocker kann man bestimmt zu 100% vetrauen, daß das so implementiert es, daß es nicht umgangen werden kann. Ich meine gab schon paar Fälle, daß das recht futsch war – aber ist halt Industriestandard und Stand der Technik.
Das Problem hatte ich auch kürzlich nach einem Upgrade des parallel installierten Linux Mint – und habe es damit in Verbindung gebracht.
Also habe ich Bitlocker deaktiviert, das Laufwerk entschlüsselt – und kann es seitdem nicht mehr aktivieren. Beim Neustart kommt die Fehlermeldung, dass Bitlocker nicht aktiviert werden konnte, weil das Laufwerk (C: Systemlaufwerk!) nicht für automatische Entsperrung konfiguriert sei …
Seitdem arbeite ich erstmal ohne Bitlocker. Danke, Microsoft …
Der Bitlocker ist wie ein Kropf.
User mit Entwickler PC geht in den wohlverdienten Urlaub. Nach dem Urlaub bekommt der PC wieder Strom und faehrt mit einer Fehlermeldung hoch. User startet die Reparatur weil von MS vorgeschlagen… Danach soll er den Bitlocker Schluessel eingeben. User kommt zum Admin. Admin schaut im AAD (Intune) nach und findet dort wo der Schluessel stehen sollte ein ausgegrautes Feld wie bei einem Android Smartphone. Im AD ist noch ein Schluessel vorhanden der leider nicht passt. SSD aus dem Geraet ausgebaut und extern angehaengt. Part C verlangt immer noch den unbekannten Schluessel… fuer die Partition D passt der im AD gefunden Schluessel. Was war denn nun defekt? Die Stuetzbatterie.
Also in meinen Augen ist der Bitlocker ein absoluter Murx fuer den es einen eigenen Admin geben sollte. User mit Admin Rechte kann den Bitlocker jederzeit entfernen und wieder neu aktivieren ohne dass der Admin der Firma etwas mitbekommt. Beim Einbau einer Hardware Karte muss man den Bitlocker Schluessel eingeben u.s.w.
Wir stellen den Bitlocker bei den Usern die keinen tragbaren PC haben wieder ab.