Windows-Wiederherstellung gefährdet verschlüsselte Nutzerdaten
Auf den Sicherheitskonferenzen Black Hat USA 2025 und DefCon hat das Microsoft-Team für "Security Testing & Offensive Research" (STORM) neue Sicherheitslücken in der Windows-Wiederherstellungsumgebung (WinRE) demonstriert.
BitLocker, in Windows teils auch als "Device Encryption" bezeichnet, schützt gespeicherte Daten mittels vollständiger Laufwerksverschlüsselung (Full Volume Encryption, FVE) vor physischen Zugriffen, etwa wenn ein Gerät entwendet wird. Um sicherzustellen, dass WinRE auch bei verschlüsselten Systemlaufwerken funktionsfähig bleibt und den Nutzern bei größeren Problemen weiterhelfen kann, hatte Microsoft in der Vergangenheit allerdings mehrere Anpassungen vorgenommen.
Dazu zählen die Auslagerung der Datei WinRE.wim in eine unverschlüsselte Wiederherstellungspartition, die Einführung des "Trusted WIM Boot" zur Integritätsprüfung der Wiederherstellungsdatei sowie ein Mechanismus, der den Zugriff auf das Laufwerk erneut sperrt, wenn riskante Werkzeuge wie die Eingabeaufforderung genutzt werden.
Laut den hauseigenen Forschern wird WinRE nach erfolgreicher Integritätsprüfung automatisch entsperrt und kann dabei auf ungeschützte Partitionen wie die EFI-Systempartition und die Wiederherstellungspartition zugreifen. Genau in diesem Prozess fanden sie mehrere Schwachstellen, die erst durch die BitLocker-bedingten Änderungen an WinRE überhaupt relevant geworden seien.
Die Sicherheitslücken sind unter den Kennungen CVE-2025-48800, CVE-2025-48003, CVE-2025-48804 und CVE-2025-48818 erfasst. Geschlossen wurden sie mit Patches, die im Juli für Windows 10 und Windows 11 bereitgestellt wurden. Da Microsoft kumulative Updates veröffentlicht, sind die Korrekturen auch im August-Update enthalten, das in dieser Woche erschien. Die detaillierte technische Analyse hat Microsoft im offiziellen Sicherheitsblog veröffentlicht.
Siehe auch:
Es ist kompliziert
Die entdeckten Schwachstellen ermöglichen es Angreifern, den Festplattenverschlüsselungsdienst BitLocker zu umgehen und auf eigentlich geschützte Benutzerdaten zuzugreifen. WinRE lässt sich leicht starten - etwa durch Gedrückthalten der Umschalttaste beim Klick auf "Neu starten" am Windows-Anmeldebildschirm.BitLocker, in Windows teils auch als "Device Encryption" bezeichnet, schützt gespeicherte Daten mittels vollständiger Laufwerksverschlüsselung (Full Volume Encryption, FVE) vor physischen Zugriffen, etwa wenn ein Gerät entwendet wird. Um sicherzustellen, dass WinRE auch bei verschlüsselten Systemlaufwerken funktionsfähig bleibt und den Nutzern bei größeren Problemen weiterhelfen kann, hatte Microsoft in der Vergangenheit allerdings mehrere Anpassungen vorgenommen.
Dazu zählen die Auslagerung der Datei WinRE.wim in eine unverschlüsselte Wiederherstellungspartition, die Einführung des "Trusted WIM Boot" zur Integritätsprüfung der Wiederherstellungsdatei sowie ein Mechanismus, der den Zugriff auf das Laufwerk erneut sperrt, wenn riskante Werkzeuge wie die Eingabeaufforderung genutzt werden.
Laut den hauseigenen Forschern wird WinRE nach erfolgreicher Integritätsprüfung automatisch entsperrt und kann dabei auf ungeschützte Partitionen wie die EFI-Systempartition und die Wiederherstellungspartition zugreifen. Genau in diesem Prozess fanden sie mehrere Schwachstellen, die erst durch die BitLocker-bedingten Änderungen an WinRE überhaupt relevant geworden seien.
Patches verfügbar
Microsoft rät Nutzern, den Einsatz eines TPM-Chips mit zusätzlicher PIN-Abfrage vor dem Systemstart zu aktivieren. So werde die Abhängigkeit vom automatischen Entsperren reduziert. Zudem empfiehlt der Konzern, die unter KB5025885 dokumentierte "REVISE"-Absicherung gegen Downgrade-Angriffe einzurichten.Die Sicherheitslücken sind unter den Kennungen CVE-2025-48800, CVE-2025-48003, CVE-2025-48804 und CVE-2025-48818 erfasst. Geschlossen wurden sie mit Patches, die im Juli für Windows 10 und Windows 11 bereitgestellt wurden. Da Microsoft kumulative Updates veröffentlicht, sind die Korrekturen auch im August-Update enthalten, das in dieser Woche erschien. Die detaillierte technische Analyse hat Microsoft im offiziellen Sicherheitsblog veröffentlicht.
Zusammenfassung
- Microsoft-Team STORM entdeckt Sicherheitslücken in Windows-WinRE
- Schwachstellen ermöglichen Umgehung der BitLocker-Verschlüsselung
- Angreifer können auf eigentlich geschützte Benutzerdaten zugreifen
- Microsoft empfiehlt TPM-Chip mit zusätzlicher PIN-Abfrage
- Sicherheitslücken wurden mit Juli-Updates für Windows 10 und 11 geschlossen
- Korrekturen sind auch in den aktuellen August-Updates enthalten
- Detaillierte technische Analyse im offiziellen Microsoft-Sicherheitsblog
Siehe auch:
Thema:
Windows 10 im Preisvergleich:
Proc-alleni 
Lizenzguru.de 
IT-Hardpulse 
Mysoftware Beliebte Windows 10 Downloads
Windows 10 Videos
-
Xgimi Halo+ New: Beamer bringt nach Update Netflix-Support mit
-
Windows 10: Nervige Werbung für Microsoft-Dienste abschalten
-
Xgimi Halo+: Toller Mobile-Beamer wurde noch weiter entwickelt
-
Windows 10: So kann man blockierte Dateien mit Bordmitteln löschen
-
Der schnelle Überblick: So gibt's das Windows 10 Mai 2021 Update
HIGHLIGHT
Beiträge aus dem Forum
Weiterführende Links
Beliebte Windows 10 FAQ Einträge
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
- iPhone Air 2: Apple behebt die zwei größten Mankos des Vorgängers
- 24 Mrd. Datensätze offen im Netz: Riesiges Passwort-Archiv entdeckt
- Top-Tarif im O2-Netz: Jetzt 25 GB 5G dauerhaft für nur 4,99 Euro
- Microsoft Edge erlaubt bald den Login mit einem Google-Konto
- Tim Cook warnt: Preise für Apple-Produkte werden bald deutlich steigen
- Minus 15 Prozent: Speicherkrise trifft die Smartphone-Hersteller hart
- Massiver Firewall-Hack: Viele der wichtigsten Netze der Welt geknackt
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon