Der IT-Sicherheitsforscher, der bereits die Schwachstellen „RedSun“, „UnDefend“ und „BlueHammer“ vorgeführt hatte, legt mit weiteren Veröffentlichungen von Sicherheitslücken in Windows nach. „NightmareEclipse“ (GitHub) oder „Chaotic Eclipse“ (Blogspot) hat mit „YellowKey“ eine schwere Sicherheitslücke in BitLocker-Laufwerksverschlüsselung von Windows aufgespürt. Außerdem hat er eine weitere Rechteausweitungslücke „MiniPlasma“ in einem Windows-Treiber entdeckt.

Im „Windows Cloud Files Mini Filter“ hatte Microsoft bereits im Jahr 2020 versucht, eine Rechteausweitungslücke zu stopfen (CVE-2020-17103, CVSS 7.0, Risiko „hoch“). Unklar ist, ob der Patch irgendwann zurückgezogen wurde oder Microsoft ihn schlicht nicht verteilt. Jedenfalls ist die Schwachstelle – die Googles Project Zero damals gemeldet hatte – noch immer angreifbar. Der Proof-of-Concept-Exploit (PoC) auf GitHub soll vorführen, wie Angreifer sich damit SYSTEM-Rechte verschaffen, aber auch Googles alter PoC funktioniert demnach noch immer.

BitLocker beliebig entsperren mit lokalem Zugriff

Etwas mehr Kopfzerbrechen bereitet die „YellowKey“-Schwachstelle in BitLocker. Wie für die kürzlich bekannt gewordene, auf BitUnlocker basierende Attacke ist lokaler Zugriff nötig. Allerdings reicht dafür ein einfacher USB-Stick aus. Auf den kopieren Angreifer den Ordner „\System Volume Information\FsTx“. Das Dateisystem muss dazu mit Windows kompatibel sein, also etwa FAT, FAT32, exFAT oder NTFS. Diesen Stick steckt man nun an einen Rechner mit aktiviertem BitLocker. Durch Gedrückthalten der Shift-Taste beim Start muss das System in die Windows-Wiederherstellungsumgebung booten. Darin klicken Angreifer auf Restart und halten statt der Shift-Taste nun die Taste Strg gedrückt. Das startet eine Shell mit uneingeschränktem Zugriff auf das eigentlich von BitLocker geschützte Laufwerk. Das soll unter Windows 11 und Server 2022 sowie 2025 funktionieren, die Windows-Wiederherstellungsumgebung von Windows 10 ist nicht betroffen. Was bei den BitUnlocker-abgeleiteten Angriffen hilft – eine Umgebung, die auf die Eingabe einer PIN vor dem Entschlüsseln und TPM-Schutz setzt –, ist hier offenbar wirkungslos, schreibt *Elipse in einem Blog-Beitrag.

Der IT-Sicherheitsexperte Will Dormann hat den Exploit getestet und berichtet auf Mastodon von seinen Schlüssen. Ihm zufolge ist etwa das Drücken und Halten von Strg nicht nötig, um in die Shell mit BitLocker-Laufwerk-Zugriff zu gelangen. Die genaue Funktionsweise ist derzeit noch immer unklar, aber es sieht so aus, als ob sich mit dem „\System Volume Information\FsTx“Ordner eines Laufwerks (der zu Transactional NTFS gehört) die Inhalte von anderen Laufwerken freischalten lassen. Ein User-Bericht unter Dormanns Beitrag deutet jedoch darauf, dass bei ihm das C-Laufwerk freigegeben wurde, das D-Laufwerk hingegen nicht.

In dem Blog-Eintrag schreibt *Eclipse außerdem, dass Microsoft eine der gemeldeten Schwachstellen anscheinend still und heimlich korrigiert hat. Die „RedSun“-Schwachstelle von Mitte April verschafft Angreifern Adminrechte. Die ist mit den Updates zum Patchday der vergangenen Woche offenbar gefixt worden – ohne etwa einen CVE-Schwachstelleneintrag.

(dmk)

Die Windows-Updates aus der vergangenen Woche lassen sich auf einigen Windows-11-Systemen nicht installieren. Ein Fehlercode „0x800f0922“ steht im Zusammenhang mit der EFI-Systempartition. Mögliche Gegenmaßnahmen sollen helfen.

Microsoft räumt das Problem im Message-Center der Windows-Release-Health-Notizen ein. Die Sicherheitsupdates aus dem Mai erzeugen unter Umständen den Fehlercode „0x800f0922“. Das Problem betrifft demnach Geräte, auf denen zu wenig Platz in der EFI-Systempartition vorhanden ist. Das ist insbesondere dann der Fall, wenn der freie Platz nur noch 10 MByte oder weniger beträgt. Microsoft hat das Problem für Windows 11 24H2 und 25H2 bestätigt.

Auf betroffenen Geräten könne die Installation durch die initialen Phasen laufen, dann aber in den Reboot-Phasen bei einem Fortschritt von rund 35 bis 36 Prozent fehlschlagen, erklärt das Unternehmen. Die Installation startet dann ein Rollback und die sinngemäße Nachricht „Etwas ist schiefgelaufen. Mache Änderungen rückgängig“ („Something didn’t go as planned. Undoing changes“) erscheint. In der Datei „C:\Windows\Logs\CBS\CBS.log“ finden sich in solchen Fällen Log-Einträge wie „SpaceCheck: Insufficient free space“, „ServicingBootFiles failed. Error = 0x70“ oder „SpaceCheck: used by third-party/OEM files outside of Microsoft boot directories“.

Mögliche Gegenmaßnahmen

Betroffene können sich auf zwei Arten behelfen, führt Microsoft weiter aus. Sie können an der Registry Änderungen vornehmen – vorher unbedingt ein Backup anlegen, rät Microsoft – und den DWORD-Key „EspPaddingPercent“ mit Wert „0“ im Pfad „HKLM\SYSTEM\CurrentControlSet\Control\Bfsvc“ ergänzen. An der administrativen Eingabeaufforderung (Start anklicken, „CMD“ eingeben und „Als Administrator ausführen“ auswählen) erledigt das laut Microsoft der Befehl reg add "HKLM\SYSTEM\CurrentControlSet\Control\Bfsvc" /v EspPaddingPercent /t REG_DWORD /d 0 /f. Nach einem Neustart soll sich das Update installieren lassen.

Die zweite Hilfestellung besteht in einem Known Issue Rollback (KIR), bei dem der fragliche Update-Bestandteil einfach nicht verteilt wird. Das hat Microsoft für alle nicht verwalteten Geräte und Maschinen von privaten Endkunden so eingerichtet, das richtet sich daher eher an Admins in Business-Umgebungen. Ein Neustart der Rechner kann helfen, dass das KIR schneller wirksam wird. IT-Verantwortliche erhalten in dem Beitrag im Message Center einen Download-Link auf eine Gruppenrichtlinie, mit der sie das in ihrem Netzwerk umsetzen können.

(dmk)

Weil für die in HCL BigFix SCM Reporting implementierte jQuery-1.x-Bibliothek der Support ausgelaufen ist, bekommt die Software keine Sicherheitsupdates mehr und eine jüngst entdeckte Sicherheitslücke bleibt offen. Nun haben die HCL-BigFix-Entwickler die Komponente entfernt.

Über HCL BigFix verwalten Admins Endpoints. SCM Reporting stellt in diesem Kontext unter anderem Analysedaten für gemanagte PCs bereit.

Die Schwachstelle

Wie aus einer Warnmeldung hervorgeht, ist die Sicherheitslücke (CVE-2026-21821) mit dem Bedrohungsgrad „hoch“ eingestuft. Daran sollen Angreifer der knappen Beschreibung zufolge für etwa XSS-Attacken ansetzen können, sodass es zur Ausführung von Schadcode kommt.

Um Angriffen vorzubeugen, müssen Admins in den SCM-Reporting-Einstellungen die Version 168 installieren. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen.

Admins von HCL BigFix müssen derzeit öfter Software aktualisieren: Ende April hat der Hersteller fehlerhafte Zugriffskontrollen in HCL BigFix Service Management mit frischer Programmversion korrigiert.

(des)