Windows-Update KB5099539: Microsoft sperrt unsichere Bootloader
Veröffentlicht: 15.07.2026 um 13:52 Uhr, Redaktion boerse-global.de
Sicherheitsforscher decken auf: Elf veraltete Bootloader gefährden Secure Boot seit 2013.
Forscher von ESET haben elf von Microsoft signierte UEFI-Bootloader entdeckt, die es Angreifern ermöglichen, die Secure-Boot-Schutzmechanismen zu umgehen. Einige dieser Sicherheitslücken bestehen bereits seit 2013. Microsoft hat die betroffenen Dateien nun im Rahmen seines Patch-Dienstags im Juni 2026 widerrufen. Ein kumulatives Update vom 14. Juli 2026 verstärkt diese Maßnahmen für Windows-10-Nutzer zusätzlich.
Jahrzehntealte Schwachstelle für moderne Bootkits
Die Entdeckung offenbart eine erhebliche Lücke im UEFI-Vertrauensmodell, die mehr als ein Jahrzehnt bestand. Die elf identifizierten Bootloader – allesamt Version 0.9 oder älter – wurden von Microsoft signiert, enthielten jedoch Schwachstellen, mit denen Angreifer den Secure-Boot-Prozess umgehen konnten. Da diese Dateien nie widerrufen wurden, blieb jedes System angreifbar, das der Microsoft-UEFI-Zertifizierungsstelle (CA) von 2011 vertraute.
Ein Angreifer benötigt lediglich Zugriff auf die EFI-Systempartition und eine Kopie des verwundbaren Bootloaders, um die Umgehung durchzuführen. Diese Technik wurde bereits genutzt, um Bootkits wie Bootkitty, HybridPetya und BlackLotus einzuschleusen. Die Forscher betonen: Weil das zugrunde liegende Vertrauensmodell ältere, signierte Code-Versionen weiterhin ausführt, haben diese „vergessenen" Bootloader Secure Boot während des Großteils seiner Existenz praktisch ausgehebelt.
Festplatte kaputt oder Windows streikt aufgrund solcher Sicherheitslücken? Dieser kostenlose Report erklärt Schritt für Schritt, wie Sie einen Windows-11-USB-Stick als Rettungsanker erstellen. Windows 11 Boot-Stick Anleitung jetzt kostenlos sichern
Technische Gegenmaßnahmen und Branchenauswirkungen
Die Schwachstellen werden unter den Kennungen CVE-2026-8863 (CVSS-Schweregrad 7,8) und CVE-2026-10797 geführt. Die Auswirkungen der fehlerhaften Bootloader reichen über Windows hinaus: Mehrere Linux-Distributionen und Drittanbieter-Tools sind betroffen, die auf Microsofts Signierungsdienst für UEFI-Kompatibilität angewiesen sind. Zu den betroffenen Organisationen zählen Red Hat, Oracle, OpenSuse und PC-Doctor.
Microsoft begann am 9. Juni 2026 mit der Ungültigmachung dieser Dateien, indem es sie in die UEFI-Widerrufsliste (dbx) aufnahm. Am 14. Juli 2026 folgte das Windows-10-Kumulativupdate KB5099539. Es enthält spezifische Secure-Boot-Zertifikatsaktualisierungen und weitere dbx-Widerrufe, um sicherzustellen, dass Systeme die elf kompromittierten Bootloader nicht mehr als gültig anerkennen.
Windows 11 bietet zwar verbesserte Sicherheitsstandards, doch viele Nutzer fürchten Probleme beim Systemwechsel. Der kostenlose Guide zeigt Ihnen, wie Sie das Upgrade ohne Stress, Datenverlust oder teure Fachhilfe meistern. In 5 Schritten sicher zu Windows 11 wechseln
Bleibende Bedenken zur Firmware-Sicherheit
Obwohl die von ESET identifizierten Bootloader nun gesperrt sind, vermuten Branchenexperten, dass die Gesamtzahl verwundbarer älterer Bootloader weiterhin unbekannt ist. Sicherheitsberichte deuten darauf hin, dass weitere nicht widerrufene Bootloader aus der Zeit vor 2017 noch im Umlauf sein könnten.
Die Angriffsmethode folgt dem Prinzip des „Bring Your Own Vulnerable Driver" (BYOVD): Ein legitimes, aber fehlerhaftes Datei wird in ein System eingeschleust, um unberechtigte Privilegien zu erlangen. Trotz der jüngsten Widerrufe argumentieren Forscher, dass die grundlegende Struktur des UEFI-Vertrauensmodells ein robusteres Management erfordert, um ähnliche Umgehungen in Zukunft zu verhindern.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
