Microsoft stellt PowerShell-Skripte zur Behebung der Umgehung von BitLocker bereit

Sonntag, 19.03.2023

Angreifer, die die Sicherheitslücke ausnutzen, können auf verschlüsselte Daten zugreifen.

Microsoft hat eine Sicherheitslücke in der Windows-Wiederherstellungsumgebung (WinRE) für Windows 10- und 11-Systeme behoben, die den Zugriff auf verschlüsselte Daten in Speichergeräten ermöglichen könnte.

Die Entwickler aus Redmond haben ein PowerShell-Beispielskript erstellt, mit dem Unternehmen WinRE-Images automatisch aktualisieren können, um die Windows-Geräte vor einer BitLocker-Sicherheitsumgehung zu schützen, die als CVE-2022-41099 verfolgt wird.

Es gibt zwei Versionen des Skripts (KB5025175), die mit Administrator-Anmeldeinformationen in PowerShell ausgeführt werden sollten, schreibt das Unternehmen. Die Version - PatchWinREScript_2004plus.ps1 - ist für Geräte mit Windows 10 2004 und höher, einschließlich Windows 11. Die andere - PatchWinREScript_General.ps1 - richtet sich an Geräte mit Windows 10 v1909 und früher.

Microsoft veröffentlichte im November 2022 einen Hinweis auf die Sicherheitslücke und aktualisierte den Hinweis im Februar.

Laut Microsoft ist es für Angreifer nicht einfach, die Sicherheitslücke auszunutzen. Wenn das Gerät durch das BitLocker TPM+PIN geschützt ist, müssten die Angreifer die TPM-PIN kennen, um in das System einzudringen. Der TPM+PIN-Multifaktor-Authentifizierungsmodus (MFA) verwendet die TPM-Sicherheitshardware (Trusted Platform Module) des Geräts und eine PIN, um Benutzer zu authentifizieren. In diesem Modus müssen die Benutzer die PIN in der Windows-Pre-Boot-Umgebung eingeben, wenn der Computer gestartet wird.

Wenn jedoch ein Angreifer in das System eindringt, kann er einigen Schaden anrichten.

Ein erfolgreicher Angreifer könnte die BitLocker Device Encryption-Funktion auf dem Systemspeichergerät umgehen. Ein Angreifer mit physischem Zugriff auf das Zielgerät könnte diese Sicherheitslücke ausnutzen, um Zugriff auf verschlüsselte Daten zu erhalten.

Die Schwachstelle kann nur auf Systemen mit der winre.wim auf der Wiederherstellungspartition ausgenutzt werden.

Die Skripte ermöglichen es Unternehmen, den Namen des OS Dynamic Update-Pakets zu ermitteln, das zur Aktualisierung des WinRE-Images verwendet wird. Das OS Dynamic Update-Paket, das über den Windows Update-Katalog verfügbar ist, ist versions- und architekturspezifisch, so dass die Auswahl des richtigen Pakets wichtig ist.

Das Paket sollte heruntergeladen werden, bevor das Skript verwendet wird. Wenn das Skript ausgeführt wird und der BitLocker-TPM-Schutz vorhanden ist, konfiguriert es den WinRE für den BitLocker-Dienst neu.