ACHTUNG! Bitte beachte auch das Update am Ende dieses Artikels !!!
Microsoft informiert seine Kunden aktuell zum CVE-2022-41099
(Quelle: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41099)
Schnell kann diese Information untergehen, obwohl der „Impact“ gewaltig sein kann.
Um was geht es hier?
Auf sehr vielen Windows Computern wird das WinRE – die Windows-Wiederherstellungsumgebung – eingesetzt.
(Quelle: https://de.wikipedia.org/wiki/Windows-Wiederherstellungsumgebung)
Im Grunde ist das ein „Notfallwindows“, welches in der Regel versteckt auf der Festplatte gespeichert ist.
Bei einem kritischen Fehler in Windows kann man damit dennoch darauf zugreifen und versuchen das System zu reparieren.
Soweit eine übliche und sinnvolle Lösung.
Nun hat man aber eine Schwachstelle in dieser Umgebung gefunden, mit der man den „Bitlocker“ deaktivieren kann.
Bitlocker wird eingesetzt um bei einem Diebstahl eines Windows Computers zu verhindern, dass ein Angreifer auf die dort gespeicherten Daten zugreifen kann.
Im „geschäftlichen Einsatz“ ist das eigentlich eine Grundvoraussetzung weil man sonst wirklich sehr, sehr leicht auf alle lokal gespeicherten Daten zugreifen könnte.
Der Bitlocker verschlüsselt deshalb die Festplatte(n).
Aufgrund der nun bekannt gewordenen Schwachstelle, könnte ein Angreifer bei einem gestohlenen Computer diese nutzen, um Zugriff auf die Daten zu bekommen und den Bitlocker zu umgehen.
Wie das möglich ist, sollte zunächst einmal nicht so wichtig sein.
Ich habe an meinen Systemen geprüft, welche Version das WinRE hat.
Dazu brauche ich zwei Befehle (wobei in sehr vielen Fällen auch der zweite schon ausreicht, weil er sich auf eine „Standardkonfiguration“ bezieht).
Schritt 1 – herausfinden wo das versteckte WinRE gespeichert ist
Dazu muss man ein „Befehlsfenster“ mit „administrativen Rechten“ öffnen. Wer mit dieser Aussage nichts anfangen kann soll sich bitte an seinen „Admin of Trust“ wenden.
PS C:\Users\GünterKrembsler> reagentc /info
Konfigurationsinformationen zur Windows-Wiederherstellungsumgebung (WinRE) und zur Systemwiederherstellung:
WinRE-Status: Enabled
WinRE-Ort: \\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE
Startkonfigurationsdaten-ID: d556a438-f5d2-11eb-a667-93f97e5a3b52
Ort des Wiederherstellungsimages:
Index des Wiederherstellungsimages: 0
Ort des benutzerdefinierten Images:
Index des benutzerdefinierten Images: 0REAGENTC.EXE: Vorgang erfolgreich.
Aus dem Ergebnis des Befehls bekommt man den
„WinRE-Ort“ = \\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE
Schritt 2 – die aktuelle Version des WinRE herausfinden
PS C:\Users\GünterKrembsler> Dism /Get-ImageInfo /ImageFile:\\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE\winre.wim /index:1
Tool zur Imageverwaltung für die Bereitstellung
Version: 10.0.22000.653Details für Image: „\\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE\winre.wim“
Index: „1“
Name: „Microsoft Windows Recovery Environment (amd64)“
Beschreibung: „Microsoft Windows Recover Environment (amd64)“
Größe: 3.801.197.485 Bytes
WIM startbar: Nein
Architektur: x64
Hal: <nicht definiert>
Version: 10.0.22000
Service Pack-Build: 194
Service Pack-Nummer: 0
Edition: WindowsPE
Installation: WindowsPE
Produkttyp: WinNT
Produktsuite:
Systemstamm: WINDOWS
Verzeichnisse: 4355
Dateien: 19071
Erstellt: 05.06.2021 – 18:42:17
Geändert: 06.10.2021 – 17:08:29
Sprachen:
de-DE (Standard)
Der Vorgang wurde erfolgreich beendet.
In meinem Fall ist das WinRE auf dem Stand 10.0.22000.194
Bei verschiedenen Anbietern kann man nachschauen, zu welchem Betriebssystem das gehört
(Quelle: https://en.wikipedia.org/wiki/Windows_11_version_history).
In meinem Fall ist das Windows 11 Version 21H2. Mein aktuell eingesetztes Windows dagegen ist 10.0.22000.1219.
Wie erwartet befindet sich das WinRE noch auf dem Stand bei der Erstinstallation.
Ich gehe davon aus, dass wir bei allen älteren Computer – damit meine ich alle, die vor dem 08.01.2023 geliefert wurden – und sicher noch einige Zeit auf zukünftigen Geräten, damit das Sicherheitsproblem haben.
Nun ist die Änderung des WinRE keine Sache, die ein „normaler Anwender“ selbst machen sollte. Man muss dazu schon einiges Wissen und Erfahrung haben, auch wenn es keine „Rocket Science“ ist.
Auch ist die Version nur ein „erster Indikator“. Es könnte sein, dass ein „Patch“ eingespielt wurde, der das Problem löst.
Das kann man nicht so einfach erkennen.
Deshalb hier mein Ratschlag:
- Wende dich an deine IT-Abteilung und mache auf das Problem aufmerksam.
- Dort wo es einen CISO oder eine vergleichbare Institution gibt – leite die Info weiter und bitte um Klärung des weiteren Vorgehens und Aufnahme als Risiko mit entsprechender Behandlung.
Fakt ist – wenn ein Angreifer in den Besitz eines Computers kommt, dann wird das dazu führen, dass alle gespeicherten Daten offengelegt werden.
Damit ist der wesentliche Schutz der Vertraulichkeit von Daten auf einem Windows Computer außer Kraft gesetzt.
Du solltest das nicht auf die leichte Schulter nehmen und Gegenmaßnahmen einleiten.
Für den Fall, dass auf einem Computer auch personenbezogene Daten gespeichert sind, könnte der Verlust eines Endgerätes zu einem meldepflichtigen Vorgang werden.
Und das wird dann richtig zu einem Problem.
UPDATE zu diesem Post:
Ich habe in meinem Labor den kompletten Aktualisierungsvorgang durchgespielt.
Das Ergebnis ist bemerkenswert – nachdem ich das Update in das Image eingespielt habe, kann ich das Windows RE nicht mehr aktivieren.
PS C:\Windows\System32\Recovery> ReAgentc.exe /enable
REAGENTC.EXE: Windows RE kann auf einem Volume mit aktivierter BitLocker-Laufwerkverschlüsselung nicht aktiviert werden.
Somit besteht die Lösung von Microsoft – nach meinem aktuellen Stand – darin, die Wiederherstellungsfunktion komplett zu deaktivieren.
So kann man es natürlich auch machen – einfach die komplette Funktion abschalten.
Da kann ich mir auch ein Update sparen…
Zur Dokumentation hier der Weg, wie ich das (zuvor passend zu meiner Version des WinRE!!! heruntergeladene) Update eingespielt habe.
Ich habe zum „mounten“ den Ordner „winre-mount“ in c:\temp erstellt.
Bitte nicht selbst probieren, wenn du nicht wirklich Erfahrung hast!
ReAgentc.exe /disable
Dism /Get-ImageInfo /ImageFile:c:\windows\system32\recovery\winre.wim /index:1
dism /mount-Wim /wimfile:c:\windows\system32\recovery\winre.wim /index:1 /MountDir:c:\temp\winre-mount
dism /Add-Package /image:“c:\temp\Winre-mount“ /packagepath:“c:\temp\windows10.0-kb5019961-x64_bc5dc8a94f416fbcc5a85709ad09f1741f395b40.msu“
dism /image:c:\temp\winre-mount /Get-Packages >c:\temp\get-packages.txt
dism /image:c:\temp\winre-mount /cleanup-image /StartComponentCleanup /ResetBase
dism /Unmount-Image /MountDir:c:\temp\winre-mount /commit
ReAgentc.exe /enable
==> REAGENTC.EXE: Windows RE kann auf einem Volume mit aktivierter BitLocker-Laufwerkverschlüsselung nicht aktiviert werden.