BitUnlocker: Gepatchte Windows-11-Systeme weiterhin angreifbar
Wer dachte, das Juli-2025-Update schützt zuverlässig vor BitLocker-Umgehungen, muss jetzt zweimal hinschauen. Sicherheitsforscher von Intrinsec haben ein funktionsfähiges Angriffswerkzeug namens BitUnlocker veröffentlicht, das vollständig gepatchte Windows-11-Systeme in unter fünf Minuten entschlüsselt. Kein Spezialequipment, kein Login, nur ein USB-Stick.
Was steckt dahinter?
Der Angriff baut auf CVE-2025-48804 auf, einer Schwachstelle in der Windows-Wiederherstellungsumgebung (WinRE), die Microsoft im Juli 2025 gepatcht hatte. Das STORM-Team von Microsoft hatte damals gezeigt, wie sich über eine manipulierte SDI-Datei (System Deployment Image) eine zweite, kompromittierte WIM-Datei einschleusen lässt. Der Boot-Manager prüft dabei das legitime WIM-Image, bootet aber in Wirklichkeit vom zweiten, das eine mit cmd.exe infizierte WinRE-Umgebung enthält. Ergebnis: Ein Terminal öffnet sich, das BitLocker-Laufwerk ist entschlüsselt und eingehängt.
Der Patch kam, das Problem blieb. Der Grund ist ein strukturelles Versäumnis: Secure Boot prüft ausschließlich das Signaturzertifikat eines Binaries, nicht dessen Version. Das alte Signaturzertifikat Microsoft Windows PCA 2011, das alle Boot-Manager vor dem Juli-2025-Patch signiert hat, ist weiterhin in den Secure-Boot-Datenbanken nahezu aller aktiven Geräte hinterlegt. Ein verwundbares, vorgepatchtes bootmgfw.efi gilt damit aus Sicht von Secure Boot als vollständig vertrauenswürdig.
Microsoft hat das PCA-2011-Zertifikat nicht massenhaft widerrufen, weil das einen erheblichen operativen Aufwand bedeuten würde: Zu viele legitime signierte Binaries würden davon betroffen.
So läuft der Angriff ab
Der Angreifer braucht physischen Zugriff auf den Rechner, einen USB-Stick (oder PXE-Boot-Server) und das öffentlich auf GitHub verfügbare BitUnlocker-Werkzeug. Der Ablauf:
- Auf dem USB-Stick liegt ein altes, verwundbares bootmgfw.efi (signiert unter PCA 2011) zusammen mit einer manipulierten BCD-Datei und einer präparierten SDI.
- Das Zielsystem bootet vom Stick, Secure Boot akzeptiert die Signatur anstandslos.
- Der TPM-Chip gibt den BitLocker-Volume-Master-Key frei, weil die PCR-Messungen 7 und 11 korrekt erscheinen.
- Ein Eingabeaufforderungsfenster öffnet sich mit dem vollständig entschlüsselten und eingehängten OS-Laufwerk.
Der gesamte Vorgang dauert wenige Minuten.
Wer ist betroffen?
Betroffen sind alle Systeme, die BitLocker ausschließlich mit TPM ohne Pre-Boot-PIN betreiben und deren Secure-Boot-Datenbank weiterhin PCA 2011 vertraut. Das trifft auf die große Mehrheit aller produktiv eingesetzten Windows-10- und Windows-11-Systeme zu, unabhängig davon, ob die Juli-2025-Patches eingespielt wurden. Laut dem ursprünglichen Microsoft-Advisory betrifft CVE-2025-48804 neben Windows 10 und 11 auch Windows Server 2012 bis 2025.
Nicht betroffen sind Systeme, die:
BitLocker mit TPM + PIN konfiguriert haben (der TPM gibt den Schlüssel dann ohne Pre-Boot-Authentifizierung nicht frei),
die KB5025885-Migration vollständig abgeschlossen haben und damit den Boot-Manager auf das neuere CA-2023-Zertifikat umgestellt haben.
- Pre-Boot-PIN aktivieren. Dies ist die wirksamste Einzelmaßnahme.
- KB5025885 deployen. Dieses Update migriert die Boot-Manager-Signatur auf das Windows UEFI CA 2023-Zertifikat und schließt den Downgrade-Pfad.
- Boot-Manager-Zertifikat prüfen. Die EFI-Partition einbinden und mit sigcheck kontrollieren, ob das aktive bootmgfw.efi unter CA 2023 (nicht unter PCA 2011) signiert ist.
- Physischen Zugang zu Geräten absichern. Schlösser, Kensington-Kabel und BIOS-Passwörter sind keine modernen Konzepte, aber in diesem Szenario ein sinnvoller Grundschutz.
