Es wurde eine Sicherheitslücke gefunden, die unter der CVE-2024-21302 beschrieben wurde. Dabei geht es um die Rechteerweiterungen im sicheren Windows-Kernelmodus. Mit dem August 2024 Sicherheitsupdate für Windows 11 und Windows 10 hat Microsoft schon eine erste Maßnahme ergriffen.
Wie Microsoft schreibt, sind alle Windows-Geräte, die VBS unterstützen, sind von diesem Problem betroffen. Dazu gehören physische Geräte vor Ort und virtuelle Maschinen (VMs). VBS (Virtualisierungs-basierte Sicherheit) wird von Windows 10 und neueren Windows-Versionen sowie von Windows Server 2016 und neueren Windows Server-Versionen unterstützt.
Ob VBS auf dem Rechner läuft, kann man zum Beispiel über Windows-Taste + R Msinfo32.exe starten überprüfen. Weiter unten sieht man dann den Eintrag “Virtualisierungsbasierte Sicherheit”. Steht dort “Wird ausgeführt….” dann wird es auf dem Rechner genutzt. Aber nicht gleich in Panik verfallen.
Mit dem August-Update wurde schon eine Anzahl an anfälligen VBS-Systemdateien blockiert. Aber da es sehr viele sind, bietet Microsoft eine alternative Methode an. Ab Windows 10 1809 und Server 2019 können Administratoren eine von Microsoft bereitgestellte signierte Sperrrichtlinie (SkuSiPolicy.p7b) integriert werden.
Dies läuft auf dieselbe Änderung zurück, wie schon bei der CVE-2023-24932 mit den Bootmedien und den Secure Boot-Änderungen. Es sollte nur von Administratoren ausgeführt werden. Normale Nutzer benötigen diese Änderungen noch nicht unbedingt, da es hier zu großen Komplikationen kommen kann.
Denn es kann dazu kommen, dass Windows nach der Anwendung nicht mehr bootet, in eine Boot-Schleife verfällt und auch eine Neuinstallation kann schiefgehen, da die Änderung im UEFI vorgenommen wird. Daher verlinke ich diese Anleitung jetzt auch nur.
Noch als Hinweis: Auch für die älteren Windows 10 und Server Versionen wird Microsoft eine Lösung bereitstellen. Windows 10 vor 1809 und vor Server 2019 unterstützt diese Abschwächung derzeit nicht und es kann zum Fehler 0xc0000428 kommen.
Hier aber der Artikel als KB5042562
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 23H2 22631, oder 24H2 26100. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 auch ohne TPM und Secure Boot installieren.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Bekommt Windows 11 24H2 schon den neuen Boot-Manager signiert mit dem neuen Zertifikat CA2023?
Wie sieht das ganze bei Rechner aus, die kein UEFI haben oder wo das Windows 10 noch Legacy (NTFS) installiert ist?