Forscher des Sicherheitsunternehmens Intrinsec haben kürzlich ein Tool namens „BitUnlocker“ vorgestellt, das die BitLocker-Festplattenverschlüsselung von Windows 11 in weniger als 5 Minuten umgehen kann, indem es nur den TPM-Schutzmodus (Trusted Platform Module) verwendet. Das Tool nutzt einen sogenannten „Downgrade-Angriff“, der die Zeitverzögerung zwischen dem Software-Patch und dem Widerruf alter Zertifikate ausnutzt. Durch das Laden älterer, aber immer noch vertrauenswürdiger Komponenten wird letztendlich eine durch BitLocker geschützte Festplatte geöffnet.
Dieser Angriff steht im Zusammenhang mit der Sicherheitslücke mit der Nummer CVE-2025-48804, die sich im Verarbeitungsmechanismus der Windows-Wiederherstellungsumgebung (Windows Recovery Environment) und des System Deployment Image (System Deployment Image) befindet. Microsoft hat im Juli 2025 einen Patch veröffentlicht, um das Problem zu beheben. Die Forscher wiesen jedoch darauf hin, dass selbst wenn die Schwachstelle gepatcht wird und das System dem alten Zertifikat noch vertraut, es dennoch über den Downgrade-Pfad umgangen werden kann.
Den Angriffsbedingungen nach zu urteilen ist BitUnlocker kein Remote-Angriffstool. Der Angreifer muss sich zunächst physischen Zugriff auf das Zielgerät verschaffen. Ein Angreifer könnte beispielsweise ein vorbereitetes USB-Flash-Laufwerk verwenden, um dem Windows-Boot-Manager eine vollständig formatierte und signierte Windows-Image-Datei (WIM) bereitzustellen, die die Integritätsprüfung während der Startphase besteht und gleichzeitig eine schädliche Nutzlast enthält. Nachdem das System die „saubere“ Image-Datei überprüft hat, startet es weiterhin bedingungslos den darin enthaltenen Schadcode und erhält so Zugriff auf das entschlüsselte Volume.
Der eigentliche Schlüssel liegt darin, dass es den „Fallback“-Bereich in der Zertifikatskette nutzt. Derzeit vertraut Secure Boot dem frühen Windows PCA 2011-Stammzertifikat von Microsoft immer noch weltweit, was Angreifern Downgrade-Raum bietet: Sie können eine ältere Version der Boot-Manager-Binärdatei laden, die bekannte Schwachstellen enthält, und die alte Version der Datei kann weiterhin die Signaturüberprüfung von Secure Boot bestehen und vom System als legitime Komponente ausgeführt werden.
Dieser Angriff ist eine deutliche Warnung für normale PC-Benutzer und Enthusiasten, die sich bei der Verwendung von BitLocker ausschließlich auf die Standard-TPM-Konfiguration verlassen. Wenn der herabgestufte Legacy-Boot-Manager ausgeführt wird, überprüft das TPM weiterhin die Boot-Messungen gemäß dem vorhandenen Prozess und vergleicht sie mit dem immer noch vertrauenswürdigen PCA 2011-Zertifikat. Da die Systemumgebung aus ihrer Sicht „normal aussieht“, entsperrt das TPM den BitLocker Volume Master Key ohne Auffälligkeiten und der gesamte Vorgang löst keine Alarmmechanismen aus.
Der größte „Puffer“ für diese Angriffskette ist derzeit noch die Voraussetzung für den physischen Kontakt mit dem Gerät. Bei Systemen mit aktivierter TPM- und Pre-Boot-PIN-Konfiguration verlieren Angriffe wie BitUnlocker an Wirkung: TPM erfordert zusätzliche manuelle Eingabeschritte, bevor der Schlüssel freigegeben wird. Solange die PIN nicht preisgegeben wird, ist es für einen physischen Angreifer schwierig, den gesamten Downgrade-Prozess abzuschließen und an den Entschlüsselungsschlüssel zu gelangen.
Darüber hinaus können Geräte, die das Update KB5025885 abgeschlossen und die Secure Boot-Vertrauenskette auf das neue digitale Windows UEFI CA 2023-Zertifikat migriert haben, diesen Downgrade-Pfad grundsätzlich blockieren. In dieser Konfiguration gelten ältere Startkomponenten, die auf PCA 2011 basieren, nicht mehr als vertrauenswürdig und können nicht als Einstiegspunkte verwendet werden. Die Forscher betonten, dass Benutzer und Unternehmen so schnell wie möglich prüfen sollten, ob ihre Systeme relevante Updates abgeschlossen haben, und, sofern die Bedingungen dies zulassen, zusätzliche Schutzmaßnahmen wie Pre-Boot-PINs aktivieren sollten, um das Risiko physischer Angriffe zu verringern.
Erfahren Sie mehr:
https://github.com/garatc/BitUnlocker