[English]Das Update KB5058379 für Windows 10 22H2 vom 13. Mai 2025 führt bei einigen Systemen dazu, dass das Betriebssystem beim Booten den Bitlocker Recovery-Key anforderte und hängen bleibt. Windows 11 scheint auch betroffen. Nun hat Microsoft den Bug für Windows 10 und das Update KB5058379 bestätigt.
Das Bitlocker Recovery-Key-Problem
Das zum 13. Mai 2025 für Windows 10 22H2 ausgerollte, kumulative Update KB5058379 (siehe Patchday: Windows 10/11 Updates (13. Mai 2025)) enthält Sicherheitsfixes, die im Beitrag Microsoft Security Update Summary (13. Mai 2025) erwähnt sind. Auf einigen Maschinen war nach der Installation des Updates Windows 10 gesperrt, weil das System beim Booten den Bitlocker Recovery-Key anforderte und hängen bleibt. Mir liegen auch Berichte von Blog-Lesern vor, dass Windows 11 auch betroffen sei. Ich hatte im Blog-Beitrag Windows 10: Mai 2025-Update KB5058379 sperrt Systeme, triggert Bitlocker Recovery und BSODs berichtet.
Microsoft bestätigt das Bitlocker-Problem
Zum 16. Mai 2025 hat Microsoft im Windows Release Health-Dashboard von Windows Server 10 22H2 den Support-Beitrag Windows 10 might repeatedly display the BitLocker recovery screen at startup eingestellt (ist hier aufgefallen). Dort bestätigt Microsoft, dass nach der Installation des Updates (KB5058379) vom Mai 2025 Windows 10 22H2 möglicherweise den Bildschirm für die BitLocker-Wiederherstellung anzeigt.
Redmond sei ein Problem auf Geräten mit aktivierter Intel Trusted Execution Technology (TXT) auf Intel vPro-Prozessoren der 10. oder späterer Generation bekannt. Auf diesen Systemen kann die Installation des Windows-Sicherheitsupdates vom 13. Mai 2025 (KB5058379) dazu führen, dass lsass.exe unerwartet beendet wird und eine automatische Reparatur auslöst.
Auf Geräten, auf denen BitLocker aktiviert ist, erfordert BitLocker dann die Eingabe des BitLocker-Wiederherstellungsschlüssels, um die automatische Reparatur zu initiieren. Ich hatte in obigem Artikel den Hinweis gegeben, die Intel Trusted Execution Technology (TXT) zu aktivieren, um das Update installieren zu können. Betroffene Geräte treten dann in einen von zwei Zuständen ein:
- Einige Geräte unternehmen möglicherweise mehrere Versuche, das Update KB5058379 zu installieren, bevor die Autostart-Reparatur erfolgreich auf das zuvor installierte Update zurückgreift.
- Bei der Startup-Reparatur kann ein Fehler auftreten, der eine Neustartschleife verursacht, die wiederum eine automatische Reparatur auslöst und das Gerät zum BitLocker-Wiederherstellungsbildschirm zurückführt.
Das sollte nur Clients in Unternehmensumgebungen treffen, da Consumer in der Regel keine Intel vPro-Prozessoren auf ihren Systemen verwenden. Auf betroffenen Geräten können laut Microsoft weitere Symptome beobachtet werden:
- In der Windows-Ereignisanzeige im Systemereignisprotokoll wird möglicherweise die Ereignis-ID 20 mit dem folgenden Text angezeigt: „Installation fehlgeschlagen: Windows konnte das folgende Update mit dem Fehler 0x800F0845 nicht installieren: 2025-05 Kumulatives Update für Windows 10 22H2 für x64-basierte Systeme (KB5058379).“
- Im Systemereignisprotokoll erscheint möglicherweise die Ereignis-ID 1074 mit dem Text: „Der Systemprozess ‚C:\WINDOWS\system32\lsass.exe‘ wurde unerwartet mit dem Statuscode -1073740791 beendet.“
Betroffen sind laut Microsoft Windows 10 22H2 und Windows 10 Enterprise LTSC 2021 (von Windows 11 wird nichts erwähnt). Microsoft arbeitet mit Hochdruck an einer Lösung und will diese in den kommenden Tagen per ein Out-of-Band-Update für den Microsoft Update Catalog veröffentlichen. Wer aber keinen Bitlocker Recovery Key besitzt und die Maschine nicht zurückrollen kann, wird seine Daten verlieren. Auf Find your BitLocker recovery key gibt es Hinweise, wo man einen gesicherten Bitlocker Recovery Key finden kann. Microsoft hat keine Möglichkeit, einen Bitlocker Recovery Key zu restaurieren.
PS: Falls jemand unter Windows 11 von diesem Problem betroffen ist, würde mich interessieren, welche Versionen genau tangiert sind.
Ähnliche Artikel:
Microsoft Security Update Summary (13. Mai 2025)
Patchday: Windows 10/11 Updates (13. Mai 2025)
Patchday: Windows Server-Updates (13. Mai 2025)
Patchday: Microsoft Office Updates (13. Mai 2025)
Bitlocker hat noch ganz andere Probleme, wie es scheint:
https://cybersecuritynews.com/bitlocker-encryption-bypassed/
ich habe es gesehen, aktuell aber keine Zeit gehabt, es aufzugreifen, danke für den Link
Man frägt sich unweigerlich, ob gewisse Schwachstellen nicht absichtlich offen gehalten werden. Würde beispielsweise eine ausreichende Anzahl an Nutzer in die USA einreisen, bei denen die durch Palantir eingesetzte „KI“ oder andere Gegebenheiten wie „auffälliges“ Verhalten, reiner Zufall etc. eine Durchsuchung elektronischer Geräte auslösen und diese durch Bitlocker jeglichen Zugriff verhindern würden, stünde Microsoft sicherlich am Pranger. Dass dies keine Verschwörungstheorien sind, dürfte mittlerweile jedem klar sein:
https://www.kuketz-blog.de/jenseits-der-grenzen-ueberblick-ueber-das-us-geheimdienstrecht/
https://apnews.com/article/icc-trump-sanctions-karim-khan-court-a4b4c02751ab84c09718b1b95cbd5db3
Privat würde ich meine Geräte wohl eher mit VeraCrypt schützen und Windows sowieso nur abgeschottet und dort nutzen, wo es noch eindeutige Vorteile bietet (wie Treiberanbindung: für’s Gamen oder proprietäre Software für Kreative)…
wir wissen schon seit Jahren, das die erfolgreichen Angriffe auf Bitlocker immer eine fehlende Preboot haben.
aus dem Link:
The primary mitigation against Bitpixie and similar attacks is to enforce pre-boot authentication, which requires a PIN, USB key, or key file before the system boots
Das ist nicht neu.
Wen das Vorgehen / Problem im Detail interessiert findet unter https://media.ccc.de/v/38c3-windows-bitlocker-screwed-without-a-screwdriver einen sehr gut verständlichen Vortrag vom 38C3 dazu.
Ich frage mich, ob das auch für weitere interne oder extern Laufwerke mit Bitlocker gilt, die per Passwort entsperrt werden (keine Auto Unlock aktiviert), tendiere zu nein, aber bin kein Spezialist.
„Microsoft bestätigt … Probleme“
Der Satz reicht eigentlich schon. Jede Woche lese ich hier im Blog über Fehler von Microsoft. Das kommt bestimmt davon, weil man überall auf der Welt Niederlassungen hat. Da weiß bestimmt die linke Hand nicht was die rechte macht. Umgekehrt ebenso. Was solls. Die Benutzer sind leidensfähig genug.
Auf mein Lenovo Ideapad 5 mit Windows 11 Home wurde der Bitlocker automatisch aktiviert und kann nicht mehr auf mein Notebook zugreifen.
Ich vermute dass Bitlocker mach einem Windows-Update automatisch aktiviert wurde.
das Verhalten ist bekannt und wurde im Blog als Falle beschrieben (Windows 10/11 Home-Edition und die OEM Bitlocker-Falle). Auf Facebook habe ich noch einem Kommentar auf meinen Post zu diesem Artikel bekommen, wo ein Dienstleister zwei ähnliche Fälle beschreibt.
Bitlocker wurde im Kontakt mit einem Microsoft Account aktiviert.
Dort finden sich auch die Recovery Keys.
IMHO noch ein Grund, *keinen* MS-Account zu nutzen, dann passiert das AFAIK nicht.