Onderzoekers van beveiligingsbedrijf Intrinsec hebben onlangs een tool onthuld genaamd "BitUnlocker" die de BitLocker-schijfversleuteling van Windows 11 in minder dan 5 minuten kan omzeilen met alleen de TPM-beveiligingsmodus (Trusted Platform Module). De tool maakt gebruik van een zogenaamde "downgrade-aanval" die misbruik maakt van de tijd die verstrijkt tussen het moment waarop software wordt gepatcht en oude certificaten worden ingetrokken. Door oudere maar nog steeds vertrouwde componenten te laden, wordt uiteindelijk een door BitLocker beveiligde schijf geopend.
Deze aanval houdt verband met het beveiligingsprobleem met nummer CVE-2025-48804, dat zich bevindt in het verwerkingsmechanisme van Windows Recovery Environment (Windows Herstelomgeving) en System Deployment Image (System Deployment Image). Microsoft heeft in juli 2025 een patch uitgebracht om dit te repareren. De onderzoekers wezen er echter op dat zelfs als de kwetsbaarheid wordt gepatcht, het oude certificaat nog steeds kan worden omzeild via het downgrade-pad, zolang het oude certificaat nog steeds door het systeem wordt vertrouwd.
Afgaande op de aanvalsomstandigheden is BitUnlocker geen hulpmiddel voor aanvallen op afstand. De aanvaller moet eerst fysieke toegang verkrijgen tot het doelapparaat. Een aanvaller kan bijvoorbeeld een vooraf voorbereide USB-flashdrive gebruiken om de Windows Boot Manager te voorzien van een volledig geformatteerd en ondertekend Windows Image-bestand (WIM) dat de integriteitscontrole doorstaat tijdens de opstartfase, terwijl het een kwaadaardige lading bevat. Nadat het systeem het "schone" afbeeldingsbestand heeft geverifieerd, blijft het onvoorwaardelijk de kwaadaardige code daarin lanceren, waardoor toegang wordt verkregen tot het gedecodeerde volume.
De echte sleutel is dat het voordeel haalt uit de "fallback"-ruimte in de certificaatketen. Momenteel wordt het vroege Windows PCA 2011-rootcertificaat van Microsoft nog steeds wereldwijd vertrouwd door Secure Boot, dat aanvallers downgraderuimte biedt: ze kunnen een oudere versie van het binaire bestand Boot Manager laden dat bekende kwetsbaarheden bevat, en de oude versie van het bestand kan nog steeds de handtekeningverificatie van Secure Boot doorstaan en door het systeem worden uitgevoerd als een legitiem onderdeel.
Deze aanval is een duidelijke waarschuwing voor gewone pc-gebruikers en enthousiastelingen die uitsluitend afhankelijk zijn van de standaard TPM-configuratie om BitLocker te gebruiken. Wanneer de gedowngrade oude opstartmanager actief is, verifieert de TPM nog steeds de opstartmetingen volgens het bestaande proces en vergelijkt deze met het nog steeds vertrouwde PCA 2011-certificaat. Omdat de systeemomgeving er vanuit zijn perspectief "normaal uitziet", deblokkeert de TPM de BitLocker Volume Master Key zonder enige abnormaliteit, en zal het hele proces geen alarmmechanismen activeren.
Op dit moment is de grootste ‘buffer’ voor deze aanvalsketen nog steeds de voorwaarde voor fysiek contact met het apparaat. Voor systemen waarop TPM en pre-boot PIN-configuratie zijn ingeschakeld, verliezen aanvallen zoals BitUnlocker hun bereik: TPM vereist extra handmatige invoerstappen voordat de sleutel wordt vrijgegeven. Zolang de pincode niet is gelekt, is het voor een fysieke aanvaller moeilijk om het hele downgradeproces te voltooien en de decoderingssleutel te bemachtigen.
Bovendien kunnen apparaten die de KB5025885-update hebben voltooid en de Secure Boot-vertrouwensketen naar het nieuwe Windows UEFI CA 2023 digitale certificaat hebben gemigreerd, dit downgradepad in principe blokkeren. In deze configuratie worden oudere opstartcomponenten die afhankelijk zijn van PCA 2011 niet langer vertrouwd en kunnen ze niet als toegangspunten worden gebruikt. De onderzoekers benadrukten dat gebruikers en bedrijven zo snel mogelijk moeten controleren of hun systemen relevante updates hebben voltooid en, als de omstandigheden het toelaten, aanvullende beschermingsmaatregelen moeten inschakelen, zoals pre-boot pincodes om het risico op fysieke aanvallen te verminderen.
leer meer:
https://github.com/garatc/BitUnlocker