Microsoft Recall zeigt kritische Sicherheitslücken auf

Micro­soft steht erneut im Ram­pen­licht, und das aus kei­nem guten Grund. Die Win­dows-Recall-Funk­ti­on , die Nut­zern hel­fen soll, ver­gan­ge­ne Akti­vi­tä­ten auf ihren Gerä­ten nach­zu­ver­fol­gen , weist ernst­haf­te Sicher­heits­lü­cken auf. Ein Cyber­si­cher­heits­exper­te hat kürz­lich gezeigt, wie pri­va­te Daten, dar­un­ter Pass­wör­ter und gelösch­te Nach­rich­ten, ohne beson­de­re Zugriffs­rech­te heim­lich gestoh­len wer­den kön­nen. Das wirft eine gro­ße Fra­ge auf : Wie sicher sind Ihre Daten wirk­lich ? Die Ant­wort könn­te Sie überraschen.

Sicherheits-Gegenreaktion

Win­dows Recall ist seit sei­nem ers­ten Erschei­nen im Jahr 2024 eines der umstrit­tens­ten Fea­tures von Micro­soft gewor­den und zog sofort schar­fe Kri­tik von Sicher­heits­for­schern auf sich, die es als Para­dies für Hacker bezeich­ne­ten. Der Wider­stand war stark genug, um den Roll­out um mehr als ein Jahr zu ver­zö­gern, doch die Pro­ble­me ver­schwan­den trotz der War­te­zeit nicht. Daten­schutz­ori­en­tier­te Apps wie Signal, Bra­ve und AdGuard began­nen bis Juli 2025, Recall-Screen­shots voll­stän­dig zu blo­ckie­ren, wäh­rend Nut­zer nach Mög­lich­kei­ten such­ten, ein Fea­ture zu deak­ti­vie­ren, um das sie nie gebe­ten hat­ten. Jetzt, nach­dem der Cyber­si­cher­heits­exper­te Alex­an­der Hage­nah neue Schwach­stel­len in der aktua­li­sier­ten Ver­si­on auf­ge­deckt hat, ist die Über­prü­fung zurück und lau­ter denn je. Micro­soft hat Recall im Jahr 2025 neu gestal­tet und wie­der ein­ge­führt , mit ver­bes­ser­ten Sicher­heits­maß­nah­men, ein­schließ­lich bio­me­tri­scher Authen­ti­fi­zie­rungs­an­for­de­run­gen, um der ursprüng­li­chen Wel­le der Kri­tik zu begegnen.

Windows Recall Sicherheitsvorfall Details

Cyber­se­cu­ri­ty-For­scher Alex­an­der Hage­nah hat demons­triert, dass Micro­softs über­ar­bei­te­te Win­dows-Recall-Funk­ti­on wei­ter­hin anfäl­lig für stil­le Daten­ex­trak­ti­on ist, was die Behaup­tun­gen des Unter­neh­mens unter­gräbt, dass ein Neu­start im Jahr 2025 grund­le­gen­de Sicher­heits­be­den­ken aus­ge­räumt habe.

Das Tool und seine Implikationen

Hage­nah ent­wi­ckel­te Total­Re­call Rel­oa­ded, um anhal­ten­de Schwach­stel­len in der Archi­tek­tur von Recall auf­zu­de­cken. Das Tool läuft still im Hin­ter­grund, erzwingt Benut­zer­au­then­ti­fi­zie­rungs­auf­for­de­run­gen und extra­hiert voll­stän­di­ge Recall-Daten , ein­schließ­lich Screen­shots, Pass­wör­ter, Bank­da­ten und pri­va­te Kom­mu­ni­ka­ti­on , ohne Admi­nis­tra­tor­rech­te oder Ker­nel-Exploits. Der Angriff ope­riert voll­stän­dig im nor­ma­len Benut­zer­kon­text, was bedeu­tet, dass her­kömm­li­che Sicher­heits­bar­rie­ren kei­nen nen­nens­wer­ten Schutz bieten.

In einem doku­men­tier­ten Sze­na­rio griff ein nicht tech­nisch ver­sier­ter Angrei­fer auf die voll­stän­di­ge Akti­vi­täts­his­to­rie eines PCs zu, ein­schließ­lich gelösch­ter Signal-Nach­rich­ten, mit nichts wei­ter als einer PIN-Vermutung.

Microsofts bestrittene Position

Hage­nah mel­de­te die Schwach­stel­le am 6. März 2025 an Micro­soft und stell­te den voll­stän­di­gen Quell­code zur Ver­fü­gung. Nach einer ein­mo­na­ti­gen Über­prü­fung wur­de der Fall am 3. April mit der Ein­schät­zung „by design” geschlos­sen. Micro­soft bestritt jeden Sicher­heits­feh­ler und erklär­te, dass die Zugriffs­mus­ter den beab­sich­tig­ten Schutz­maß­nah­men ent­sprä­chen und die Archi­tek­tur ver­hin­de­re, dass Mal­wa­re Benut­zer­au­then­ti­fi­zie­rungs­sit­zun­gen ausnutze.

Hage­nah wider­spricht dem direkt. Sei­ne Erkennt­nis­se zei­gen, dass die Ver­trau­ens­gren­ze vor­zei­tig endet und es Mal­wa­re ermög­licht, die Authen­ti­fi­zie­rungs­tür effek­tiv offen­zu­hal­ten und alles zu extra­hie­ren, was Recall erfasst hat. Bit­Lo­cker-Ver­schlüs­se­lung und VBS-Enkla­ve-Iso­la­ti­on bie­ten kei­nen Schutz gegen Bedro­hun­gen des­sel­ben Benutzers.

Eine problematische Geschichte

Recall wur­de 2024 ein­ge­führt, bevor es nach Kri­tik wegen der Spei­che­rung sen­si­bler Daten, ein­schließ­lich Kre­dit­kar­ten­num­mern, im Klar­text außer­halb des Bit­Lo­cker-Schut­zes zurück­ge­zo­gen wur­de. Die Funk­ti­on hat­te das Win­dows-Insi­der-Test­pro­gramm nicht durch­lau­fen und war zunächst stan­dard­mä­ßig akti­viert. Der Neu­start im Jahr 2025 auf Copilot+-PCs führ­te eine neu auf­ge­bau­te Archi­tek­tur ein , eine, die laut Hage­nah unter rea­lis­ti­schen Angriffs­be­din­gun­gen wei­ter­hin ver­sagt. Der unab­hän­gi­ge For­scher Kevin Beau­mont bestä­tig­te sepa­rat, dass die Recall-Daten­bank wei­ter­hin durch Pro­zes­se auf Benut­zer­ebe­ne les­bar ist, was die Beden­ken wei­ter bestä­tigt, dass das Neu­de­sign einen kri­ti­schen Angriffs­punkt unge­löst gelas­sen hat.

Quellenangabe

• https://www.techradar.com/computing/windows/microsofts-recall-tool-is-back-and-still-has-major-security-concerns-but-the-company-denies-any-data-risk
• https://www.windowscentral.com/microsoft/windows-11/why-this-windows-recall-feature-raises-real-security-questions
• https://en.wikipedia.org/wiki/Windows_Recall
• https://doublepulsar.com/microsoft-recall-on-copilot-pc-testing-the-security-and-privacy-implications-ddb296093b6c
• https://www.youtube.com/watch?v=j0pXFwCkF‑k
• https://www.csoonline.com/article/4159643/microsofts-windows-recall-still-allows-silent-data-extraction.html
• https://blogs.windows.com/windowsexperience/2024/09/27/update-on-recall-security-and-privacy-architecture/
• https://www.youtube.com/watch?v=4HQckNletnI
• https://docs.security.tamu.edu/docs/endpoint-security/policies/MSRecall/
• https://learn.microsoft.com/en-us/answers/questions/3910264/whats-up-with-this-new-malware-microsoft-recall