Eine groteske Sicherheitslücke, die Microsoft selbst mit Konzepten zum komfortablen Administrieren eröffnet, gewährt Angreifern vollen Zugriff auf verschlüsselte Windows-Laufwerke. Einzige Voraussetzung: ausreichende Geduld.
Das Verfahren, mit dem neue Versionen von Windows 10 auf den PC kommen, kann von Benutzern ohne Administratorrechte genutzt werden, um Microsofts eigene Laufwerksverschlüsselung namens Bitlocker auszuhebeln. Windows-Blogger Sami Laiho demonstriert das Verfahren in einem zehnminütigen Video. Während einer Upgrade-Installation kommt die Setup-Umgebung Windows PE zum Einsatz. Währenddessen lässt sich jedoch mittels der Tastenkombination Shift+F10 eine Eingabeaufforderung mit Systemrechten öffnen (also mit den Rechten des Kontos "Lokales System", SID S-1-5-18) [Update 04.12.16: Korrigiert: an dieser Stelle war ursprünglich nur von "Administratorrechten´" statt "Systemrechten" die Rede. Das ist zwar aus Sicherheitssicht kein großer Unterschied, weil ein Admin sich alle Rechte von System verschaffen kann, bedeutet aber, dass man sich den Aufwand des Verschaffens sparen kann (axv)].
Damit öffnet sich aber auch der Weg zu einer Sicherheitslücke, die sich aus der Kombination zweier Funktionen ergibt, welche Microsoft für höheren Komfort eingebaut hat: Erstens kann auch ein Anwender ohne Administratorrechte das Einspielen einer neuen Windows-Version anstoßen, sobald Windows Update eine solche heruntergeladen hat. Zweitens lässt das Upgrade-Setup ein Bitlocker-verschlüsseltes Systemlaufwerk für die Dauer des Upgrades entriegelt – damit erspart Microsoft dem Anwender die mühselige Eingabe eines Wiederherstellungsschlüssels bei der Installation einer neuen Ausgabe von Windows 10.
Hat aber ein Anwender unter Windows PE Zugriff auf die Eingabeaufforderung, kann er allerhand Manipulationen vornehmen. Laiho demonstriert, wie er sein eingeschränktes Benutzerkonto zum Administratorkonto macht; die Vorgehensweise ähnelt der schon länger bekannten Methode, ein Windows-Passwort zu ändern, ohne es kennen zu müssen. Aber auch andere Aktionen sind möglich, etwa das Kopieren von Dateien auf ein anderes Laufwerk, Manipulationen an Bitlocker und ähnliches.
Notebooks erheblich gefährdet

Ob das Sicherheitsrisiko derart schwerwiegend ist, wie Laiho meint, hängt vom Szenario ab. In Firmenumgebungen ist der Administrator gefordert, die Installation von Versions-Upgrades zu überwachen und im Zweifelsfall dafür zu sorgen, dass die Systeme währenddessen nicht unbeaufsichtigt sind – unter diesen Voraussetzungen ist das Risiko klein.
Kritisch sieht es aber für gestohlene Notebooks aus, insbesondere wenn Bitlocker beim Systemstart automatisch per TPM entsperrt wird. Dann muss ein Dieb das Gerät nur lange genug mit aufgebauter Internetverbindung im Sperrbildschirm laufen lassen, bis die Zwangs-Installation einer neuen Windows-Version startet – dann kann er sich in Windows PE über die Tastenkombination Shift+F10 den Weg freimachen. Zwischen den Versions-Upgrades können zwar mehrere Monate vergehen, aber das verlangt dem Angreifer lediglich mehr Geduld ab.
Laihos Tipp, man möge zur Abhilfe die LTSB-Ausgabe von Windows 10 verwenden, hilft nur Firmen, die über passende Volumenlizenzen verfügen. Für diebstahlgefährdete Notebooks bietet sich an, für die Entriegelung des Laufwerks nicht bloß auf ein TPM zu setzen, sondern einen zweiten Faktor zur Authentifizierung beim Systemstart einzurichten (etwa eine PIN oder einen USB-Stick) und das Notebook nicht in den Energiesparmodus zu versetzen, sondern stets komplett herunterzufahren.
Microsoft arbeitet laut Laiho inzwischen an einer Lösung. Denkbar ist, dass diese zusammen mit der geplanten neuen Update-Infrastruktur für kompaktere Downloads kommt.