„Eine groteske Sicherheitslücke, die Microsoft selbst mit Konzepten zum komfortablen Administrieren eröffnet, gewährt Angreifern vollen Zugriff auf verschlüsselte Windows-Laufwerke.“ (Quelle: Heise).
Das Verfahren, mit dem neue Versionen von Windows 10 auf den PC kommen, kann von Benutzern ohne Administratorrechte genutzt werden, um Bitlocker auszuhebeln. Damit öffnet sich aber auch der Weg zu einer Sicherheitslücke, die sich aus der Kombination zweier Funktionen ergibt, welche Microsoft für höheren Komfort eingebaut hat:
Ein Anwender kann ohne Administratorrechte das Einspielen einer neuen Windows-Version anstoßen, sobald der Windows Update Prozess eine solche heruntergeladen hat. Beim Start des Upgrade-Setup wird das Bitlocker-verschlüsselte Systemlaufwerk, für die Dauer des Upgrades, entriegelt – damit erspart Microsoft dem Anwender die mühselige Eingabe eines Wiederherstellungsschlüssels bei der Installation einer neuen Ausgabe von Windows 10.
Besonders kritisch sieht es aber für gestohlene Notebooks aus, insbesondere wenn Bitlocker beim Systemstart automatisch ohne TPM-PIN Eingabe entsperrt wird. Dann muss ein Dieb das Gerät nur lange genug mit aufgebauter Internetverbindung im Sperrbildschirm laufen lassen, bis die Zwangs-Installation einer neuen Windows-Version startet – dann kann er sich in Windows PE über die Tastenkombination Shift+F10 den Weg freimachen. Zwischen den Versions-Upgrades können zwar mehrere Monate vergehen, aber das verlangt dem Angreifer lediglich mehr Geduld ab.
Aufsperren des Gerätes auch ohne Versions-Upgrade: (siehe Heise Forum: Artikel eines Lesers):
„Das im Hintergrund verwendete Feature, zum Aufheben der BitLocker Sicherheit heisst
Bitlocker Suspend. Man kann es manuell auslösen oder es wird eben automatisch bei einem Windows-Upgrade aktiviert. Hierbei wird der Schlüssel im Bitlocker-Header des Volume direkt, zusammen mit einem Zähler abgespeichert. Ist die Anzahl der im Zähler erlaubten Reboots abgelaufen, wird der Key wieder gelöscht. Um diese Sicherheitslücke auszunutzen ist demzufolge auch kein PE oder ähnliches notwendig. Nachdem Windows ins Setup gebootet hat, einfach Strom ziehen und fertig. Danach den Datenträger spiegeln und man hat den Bitlocker-Key im Volume-Header und kann das Volume entschlüsseln.“
Es ist sehr erstaunlich, wieviel Unternehmen, Behörden und große Konzerne BitLocker ohne TPM-PIN betreiben, obwohl sie wissen, dass nahezu alle bekannten Angriffe ohne Erfolg wären, wenn die PreBoot-Authentisierung eingeschaltet wäre. Das sie damit fahrlässig mit ihren Kunden- und Firmendaten umgehen, scheinen sie in Kauf zu nehmen.