Bitlocker-Lücke: Microsoft liefert Skript zum Patchen von WinRE-Partition
In November hatte Microsoft mit Updates eine Sicherheitslücke in Bitlocker geschlossen. Ein Skript patcht die Windows Recovery Environment automatisch.
(Bild: heise online)
Microsoft hatte zum November-Patchday im vergangenen Jahr eine Sicherheitslücke in der Festplattenverschlüsselung Bitlocker ausgebessert. Das Update muss dazu jedoch auch auf die Windows Recovery Environment (WinRE) angewendet werden, um wirksam zu sein. Das gelingt bislang lediglich manuell. Ein Powershell-Skript von Microsoft soll nun bei der Automatisierung helfen.
Bitlocker-Lücke: Unbefugter Zugriff auf verschlüsselte Daten
"Erfolgreiche Angreifer könnten die Bitlocker-Geräteverschlüsselungsfunktion auf dem Systemspeichergerät umgehen. Angreifer mit physischem Zugriff auf das Zielgerät könnten diese Schwachstelle ausnutzen, um Zugriff auf verschlüsselte Daten zu erhalten", erläutert Microsoft in der Sicherheitsmeldung die Schwachstelle (CVE-2022-41099, CVSS 4.6, Risiko "mittel"). Das Unternehmen stuft die Lücke jedoch als wichtig ein ("Max Severity: Important").
In der Sicherheitsmeldung erläutern die Entwickler weiter, dass Angreifer die Schwachstelle mit dem Windows-Abbild winre.wim auf der Wiederherstellungspartition des Gerätes missbrauchen könnten. Dafür sei das Update nötig – und Administratoren müssen es manuell anwenden. Dazu verlinkt Microsoft auf eine Anleitung, wie IT-Verantwortliche heruntergeladene Aktualisierungspakete auf das winre.wim-Abbild anwenden können.
Der Prozess stellt sich etwas frickelig dar: Mounten des winre.wim-Images, Verfrachten des Update-Pakets in das Abbild mittels dism, Überprüfung mit dism, ob das geklappt hat, Aufräumen des Recovery-Abbilds mit dism und schließlich das Entladen des Images. Dann gibt es noch Unterscheidungen zwischen normalen und dynamischen Update-Paketen sowie Unterschiede im Update-Prozess dabei, ob die Aktualisierung auf ein Offline-Image oder aus dem laufenden System heraus stattfinden soll.
Vereinfachung mit Powershell-Skript
Hinter dem Knowledgebase-Beitrag KB5025175 verbirgt sich nun ein Powershell-Skript von Microsoft, das diesen Vorgang unter Windows 10 Build 2004 bis hin zu Windows 11 automatisiert. Das Skript funktioniert aus dem laufenden Windows-System heraus und nimmt die nötigen Schritte aus dem skizzierten Update-Vorgang selbständig vor. Microsofts Entwickler heben noch den Vorteil des Skripts hervor, das anders als andere derartige Lösungen im Netz auch WinRE für Bitlocker rekonfiguriert, sofern ein Bitlocker-TPM-Protektor vorhanden ist.
Das Skript nimmt als Parameter den Ort des dynamischen Update-Pakets entgegen. Dies lässt sich passend zum eingesetzten System aus dem Microsoft-Update-Katalog herunterladen. Ein zweites Skript bietet die Update-Anwendung auch für Windows 10 Build 1909 und ältere Versionen an, sei aber weniger robust als die Fassung für neuere Windows-Versionen.
(dmk)