Betroffene Windows-Versionen
CVE-2026-45585 ist ein BitLocker Security Feature Bypass mit physischem Angriffsvektor. Der relevante Betriebsfall sind verlorene, gestohlene, unbeaufsichtigte, reparierte oder reisende Geräte - nicht ein remote erreichbarer Windows-Dienst.
Im Fokus stehen Windows 11 24H2, 25H2 und 26H1 auf x64-Systemen sowie Windows Server 2025 inklusive Server Core. Das Juni-2026-Windows-Sicherheitsupdate enthält die Korrektur. Die zuvor empfohlene Mitigation muss nach Installation des Updates nicht zurückgenommen werden.
Was jetzt sauber nachgewiesen werden sollte
- Patchstand prüfen: Windows-11- und Windows-Server-2025-Systeme gegen die aktuellen Juni-Builds oder neuere kumulative Updates abgleichen.
- BitLocker-Zustand erfassen: Schutzstatus, Verschlüsselungsstatus und Key-Protector pro Laufwerk dokumentieren.
- WinRE-Status prüfen:
reagentc /infoauf Stichproben und Risikogruppen auswerten, besonders bei manuell angepassten Recovery-Images. - Recovery Keys nachweisen: Schlüsselablage in Entra ID, Active Directory, MDM oder einem anderen freigegebenen Verfahren prüfen. Keine lokalen Einzelablagen als alleinigen Nachweis akzeptieren.
- Hochrisikogeräte priorisieren: Geschäftsführung, Admin-Workstations, Entwicklergeräte, Außendienst, Reisegeräte und Geräte mit sensiblen lokalen Daten zuerst abschließen.
Für mobile und hochriskante Geräte
TPM-only bleibt bequem, ist aber für Geräte mit erhöhter physischer Exposition eine schwächere Betriebsentscheidung. Für ausgewählte Gruppen sollte TPM+PIN erneut bewertet werden, inklusive Helpdesk-Prozess, Recovery-Key-Handling und Nutzerkommunikation.
Bei laufender Secure-Boot-Zertifikatsaktualisierung kann es im Updatefenster zu einem zusätzlichen Neustart kommen. Das sollte im Rollout eingeplant werden, damit BitLocker-Recovery-Ereignisse nicht als Nebeneffekt eines unvollständig vorbereiteten Updateprozesses entstehen.
Wenn nur ein Schritt sofort geht: Patchstand, BitLocker-Protector, WinRE-Status und Recovery-Key-Escrow für mobile Windows-11-Geräte nachweisen.