Die Windows-Sicherheitsupdates, die Microsoft zum Oktober-Patchday verteilt hat, können dazu führen, dass beim Rechnerneustart die Bitlocker-Wiederherstellung gestartet wird. Der Startvorgang ist dann nur mit der Eingabe des Wiederherstellungsschlüssels möglich.

Das hat Microsoft nicht öffentlich in den Windows-Release-Health-Notzien eingeräumt, sondern in nur zahlenden Admins zugänglichen Eintrag im Micosoft-Admin-Center versteckt. Dort schreibt der Hersteller: „Nach der Installation der Windows-Updates, die am oder nach dem 14. Oktober 2025 veröffentlicht wurden (KB5066835), können bei einigen Geräten Probleme beim Neustart oder Start auftreten. Betroffene Geräte starten möglicherweise mit dem BitLocker-Wiederherstellungsbildschirm, sodass Benutzer den Wiederherstellungsschlüssel einmal eingeben müssen. Nach Eingabe des Schlüssels und Neustart des Geräts wird es normal gestartet, ohne dass weitere BitLocker-Eingabeaufforderungen angezeigt werden.“

Abhilfe schafft Teil-Deinstallation

Das Unternehmen erklärt weiter: „Das Problem scheint vorrangig Intel-basierte Geräte zu betreffen, die Connected Standby unterstützen – einer Funktion, die den Geräten ermöglicht, auch in einem Stromsparmodus mit dem Netzwerk verbunden zu bleiben“. Um das Problem zu lösen, bietet Microsoft einen Known Issues Rollback (KIR) an, also eine Teil-Deinstallation der Windows-Updates. Admins, die das in ihrer Einrichtung umsetzen wollen, sollen dazu den Microsoft-Support kontaktieren.

Betroffen sind Microsofts Angaben zufolge alle unterstützten Client-Betriebssysteme: Windows 10 22H2, Windows 11 22H2, 23H2, 24H2 und 25H2. Server zeigen offenbar keine derartigen Probleme. Microsoft gibt an, das Problem noch weiter zu untersuchen.

Wer Windows einsetzt, sollte sicherstellen, eine Kopie des Bitlocker-Wiederherstellungsschlüssels im Zugriff zu haben oder in dem eigenen Microsoft-Konto zu hinterlegen. Insbesondere in Windows-Home-Versionen ist Bitlocker öfter aktiviert, ohne, dass die Nutzerinnen und Nutzer ein Backup angelegt haben. In solchen Situationen laufen Betroffene dann Gefahr, den Zugriff auf ihre Daten auf dem Rechner zu verlieren.

Im Oktober kam es bereits zu weiteren unerwünschten Nebenwirkungen der Sicherheitsupdates und der Update-Vorschauen für Windows. Microsoft berichtete von fehlschlagender Authentifizierung mit Smartcards, nicht funktionierender Maus und Tastatur in der Windows-Wiederherstellungsumgebung oder dem Fehlschlagen des Ladens von IIS-Webseiten von localhost.

(dmk)

Dells Verschlüsselungs- und Key-Managementlösung CloudLink und Command Monitor zum Verwalten von PC-Beständen in Firmen sind verwundbar. Im schlimmsten Fall können Angreifer die volle Kontrolle über Systeme erlangen.

Feindliche Übernahme

In einem Beitrag führen die Entwickler aus, dass CloudLink unter anderem über zwei als „kritisch“ eingestufte Sicherheitslücken (CVE-2025-45378, CVE-2025-46364) attackierbar ist. In beiden Fällen kann ein Angreifer PCs vollständig kompromittieren. Dafür muss er aber über nicht näher ausgeführte Rechte verfügen.

In den anderen Fällen ist unter anderem Zugriff auf sensible Informationen möglich. Angreifer können aber auch DoS-Zustände herbeiführen. Die verbleibenden Sicherheitslücken sind mit dem Bedrohungsgrad „hoch“ (CVE-2025-30479, CVE-2025-45379) und „mittel“ (CVE-2025-46365, CVE-2025-46366, CVE-2025-46424) eingestuft. Weitere Lücken betreffen die OpenSSH-Komponente (CVE-2025-26465 „mittel„, CVE-2025-26466 „mittel„). Daran können Angreifer etwa für eine DoS-Attacke ansetzen.

Die Entwickler versichern, die Schwachstellen in den CloudLink-Ausgaben 8.1.1 und 8.2 gelöst zu haben. Alle vorigen Versionen sollen angreifbar sein. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Admins sollten trotzdem zeitnah handeln.

Durch das erfolgreiche Ausnutzen der Schwachstelle (CVE-2025-46990 „hoch„) in Command Monitor können sich Angreifer, die bereits über niedrige Nutzerrechte verfügen, hochstufen. Wie solche Attacken im Detail ablaufen könnten, ist bislang nicht bekannt.

In einer Warnmeldung listen die Entwickler die dagegen geschützte Ausgabe 10.12.3.28 auf.

Erst kürzlich wurde die Datenintegrationsplattform IBM InfoSphere Information Server gegen mögliche Attacken abgesichert.

(des)

Troy Hunt, Betreiber des Dienstes Have-I-Been-Pwned, hat der Datensammlung nun 1,3 Milliarden einzigartige Passwörter hinzugefügt. Sie stammen aus der erweiterten „Synthient“-Datensammlung.

Synthient hat offen zugängliche Daten in aus dem Internet zugreifbaren Cloudspeichern oder etwa Telegram-Gruppen gesammelt, von wo Troy Hunt sie auch erhalten hat. Einen ersten Teil dieser Daten hatte Hunt gefiltert und vor etwa zwei Wochen zunächst rund 183 Millionen Zugangsdaten daraus in die HIBP-Sammlung ergänzt. Dabei handelte es sich insbesondere um Daten, die Infostealer ausgeleitet haben.

Infostealer sind Trojaner, die auf Rechner oder Smartphones installiert werden und dort mitschneiden, wenn Opfer sich in Dienste anmelden. Diese Zugangsdaten leiten sie an Command-and-Control-Server weiter. Diese Daten landen oftmals offen einsehbar im Netz. Solche Infostealer installieren sich Opfer etwa als Dreingabe zu vermeintlichen Cracks für populäre Software, sie können jedoch auch durch Sicherheitslücken in installierter Software auf die Geräte gelangen.

Missbrauch für Angriffsversuche mit „Credential Stuffing“

Synthient hat jedoch weitaus mehr Datensätze gesammelt, die Sammlung besteht aus Daten aus diversen Datenlecks – Hunt bezeichnet sie auch als „Credential Stuffing“-Einträge. Insgesamt umfasst die Datensammlung rund 2 Milliarden einzigartige E-Mail-Adressen. Wie Troy Hunt zu der Ankündigung der nun hinzugefügten 1,3 Milliarden Passwörter erörtert – davon 625 Millionen bislang unbekannte –, nutzen Angreifer diese Daten, um andere Konten von Opfern zu knacken, bei denen dieselben Passwörter (wieder-)benutzt werden. Das Durchtesten dieser Zugangsdaten nennt sich Credential Stuffing.

Dass das eine erfolgreiche Taktik ist, hat Hunt beim Verifizieren der Daten bestätigen können. Laut seines Berichts hat er einige Abonnenten von HIBP befragt, ob die Daten echt seien. Gleich die erste Antwort lieferte Klarheit: „[Passwort] #1 ist ein altes Passwort, das ich nicht mehr nutze. #2 ist ein aktuelleres Passwort. Danke für die Vorwarnung, ich bin hingegangen und habe die Passwörter für alle kritischen Zugänge geändert, die eines davon genutzt haben“. Ein weiterer Nutzer berichtete, dass es sich um ein Wegwerf-Passwort für unwichtige Konten handelte, das er zwischen 20 und 10 Jahren zuvor genutzt hatte. Weitere Antworten deuten ebenfalls in die Richtung alter, lange nicht mehr genutzter Passwörter. Die Datensammlung umfasst also auch sehr alte Einträge.

Interessierte können auf einer eigenen HIBP-Webseite prüfen, ob ihre Passwörter in einem Datenleck aufgetaucht sind. Eine kurze Prüfung etwa mit „123456“ liefert gleich 178.863.340 Einträge, in denen diese Zahlenfolge als Passwort auftauchte.

(dmk)