Windows 10: Löst KB4535680 ein Bitlocker-Recovery aus?

[English]Kurze Frage an die Administratoren im Business-Umfeld, die Windows 10-Clients mit aktiviertem Bitlocker betreiben. Kommt es nach der Installation des Sicherheitsupdate KB4535680 bei den Clients vermehrt zu einem Bitlocker-Recovery? Artikel um Hinweise auf betroffene Geräte erweitert. Microsofts Empfehlung lautet, das Sicherheitsupdate vorerst nicht zu installieren, bis ein Fix vorliegt.


Anzeige

Wofür ist das Sicherheitsupdate KB4535680?

Ich hatte das Sicherheitsupdate KB4535680 (Security update for Secure Boot DBX: January 12, 2021) im Blog-Beitrag Windows Sicherheitsupdate KB4535680 für Secure Boot (DBX) erwähnt. Es ist ein Sicherheitsupdate für den Secure Boot (DBX), der von Windows auf UEFI-Maschinen genutzt werden kann. Das Sicherheitsupdate KB4535680 steht für die nachfolgenden Windows-Versionen zur Verfügung, wenn diese auf UEFI-Hardware installiert sind.

  • Windows Server 2012 x64-bit
  • Windows Server 2012 R2 x64-bit
  • Windows 8.1 x64-bit
  • Windows Server 2016 x64-bit
  • Windows Server 2019 x64-bit
  • Windows 10, version 1607 x64-bit
  • Windows 10, version 1803 x64-bit
  • Windows 10, version 1809 x64-bit
  • Windows 10, version 1909 x64-bit

Windows 7 oder 32-Bit-Windows-Versionen werden nicht unterstützt. Der Hintergrund zum Update KB4535680: Windows-Geräte mit UEFI (Unified Extensible Firmware Interface)-basierter Firmware können mit aktiviertem Secure Boot betrieben werden. Die Secure Boot Forbidden Signature Database (DBX) verhindert das Laden von UEFI-Modulen.

Der Grund für diese Ergänzung: Es wurde eine Schwachstelle gefunden, die eine Umgehung von Sicherheitsfunktionen in Secure Boot ermöglicht. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Secure Boot umgehen und nicht vertrauenswürdige Software laden. Details zu dieser Schwachstelle lassen sich in CVE-2020-0689 | Microsoft Secure Boot Security Feature Bypass Vulnerability nachlesen.

Im Artikel Wird das Windows-Update KB4535680 auf BIOS-Systemen angeboten? hatte ich die Frage thematisiert, wieso dieses Update auch auf BIOS-Systemen angeboten wird, mich aber mit der Erklärung zufrieden gegeben, dass dort das Update zwar installiert, aber nicht geladen wird.

Löst KB4535680 bei euch ein Bitlocker-Recovery aus?

Dieter Haimann wirft auf Twitter die Frage auf, ob auch andere Nutzer vermehrt ein Bitlocker-Recovery nach Installation des Update KB4535680 feststellen? Er ist mit diversen Maschinen in das Problem gelaufen und fragt nach praktikablen Lösungen, falls Tausende an Geräten betroffen sind.

KB4535680 causes Bitlocker-Recovery?

Im Tweet gehen andere Nutzer auf diese Frage ein. Wie schaut es bei euch aus, gibt es da Probleme? Danke an Karl für den Hinweis.

HP-Geräte betroffen, es gibt Hinweise von HP

Ergänzungen: Wie in einem anonymen Kommentar unten angemerkt wird, hat Microsoft in den „Known issues“ ein spezielles Szenario aufgeführt, wo diese Anforderung der Recovery-Keys beim Booten erfolgt. Spannender finde ich im Thread mit obigem Tweet den Hinweis, dass jemand das Problem bei 400 älteren Geräten mit HP-BIOS/UEFI-Chips meldet. Weitere Rückmeldungen ergeben das Bild, dass das Problem verstärkt bei älteren HP-Geräten auftritt.

Von HP gibt es ein Support-Dokument HP Commercial Desktops, Notebooks, and Thin Clients PCs – Installing or Upgrading to Windows 10 Version 2004 or Installing KB4524244 or KB4535680 Results in Hang aus 2020, welches ein BIOS-Update ankündigt. Ob dies das oben genannte Problem mit dem Bitlocker Recovery löst, weiß ich nicht. Von Dieter Haimann gibt es die Rückmeldung, dass seine Geräte (G3 Elite books 850, EliteDesk 800, ProBook 650 G2) älter als im Dokument aufgeführt sind und es keine BIOS-Update gibt. Er fährt die Systeme mit Windows 10 Version 1809 und 1909.

Aktuell lautet die Empfehlung Microsofts (so entnehme ich dies den Tweets), das Update auf SCCM etc. für eine Verteilung zu blockieren, bis eine Lösung gefunden wird.


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Störung, Update, Windows 10 abgelegt und mit Problem, Update, Windows 10 verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Windows 10: Löst KB4535680 ein Bitlocker-Recovery aus?

  1. Bernhard Diener sagt:

    100 PCs mit Secure Boot und Bitlocker, welches an Secure boot gekoppelt ist (PCR 7,11) – Update überall installiert – kein einziger mit diesem Problem.

  2. Roland K sagt:

    Bei unseren 100+ Lenovo ThinkPad X1 Yoga (3rd/5th Gen) wurde KB4535680 vor knapp drei Wochen installiert. Windows 10 Enterprise 1909, UEFI und Secure Boot aktiv. Bisher wurden keine Probleme gemeldet.

  3. Anonymous sagt:

    kommt sicher drauf an in welchem Modus Bitlocker läuft, da gibt es ja einige configs

  4. Andi sagt:

    Kann ich auch nicht bestätigen. Ebenfalls ca. 100 Geräte in dieser Kombination im Einsatz, bisher habe ich keine Rückmeldungen von Anwendern dazu erhalten. 1909 Enterprise ist im Einsatz.

  5. Anonymous sagt:

    steht doch auch unter known issues!

  6. Daniel S. sagt:

    Hatten gestern tatsächlich einen. In der IT ist bei Tests vorher nichts aufgefallen. Haben alle die gleiche Config / Versions-Stand.

  7. Michael sagt:

    Zumindest haben unsere Lenovo Windows 1909 Clients kein Problem mit dem Update.

  8. 1ST1 sagt:

    Hier bei einer größeren dreistelligen Anzahl an Dell-Clients auch kein Problem.

  9. Markus K sagt:

    ~800 HP ProDesk 600 G3 und keine Probleme bekannt

  10. DerEine sagt:

    ~600 Clients – Fujitsu und Lenovo und keine Probleme (Win 10 1909)

  11. Matthias Gutowsky sagt:

    Hier bei einer zweistelligen Anzahl von Geräten (Surface, HP, Fujitsu) keine Probleme

  12. SeaStorm sagt:

    ~1000 Dell Geräte. Keine Probleme

  13. Jan R. sagt:

    65 Surface Geräte (Pro 5-7, Laptop 2-3 und Book 2-3), keine Probleme

  14. PeterB sagt:

    > 4000 Dell und Lenovo Clients (64Bit Enterprise DE 1909) ohne Probleme

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.