BitUnlocker-Downgrade möglich im Tech- und Windows-Blog von Windows 11Born

Im Juli 2025 veröffentlichte Microsoft Sicherheitsupdates für Windows, um eine Schwachstelle in Bitlocker zu schließen, die einen Bitlocker-Herabstufungsangriff ermöglicht. Jetzt haben Sicherheitsforscher gezeigt, dass ein Bitlocker-Drop-Angriff auf Windows 11 möglich ist. Bezogen auf PCA 2011-Zertifizierungen. Aber alles erfordert Zugriff auf das lokale System.

Sicherheitsupdates für Bitlocker 2025

Im August 2025 beschrieb Microsoft im Artikel BitUnlocker: Leveraging Windows Recovery to Extract BitLocker Secrets einen BitUnlocker-Angriff. Es nutzt die Windows-Wiederherstellung (Win RE-Umgebung), um BitLocker-Schlüssel zu extrahieren und dadurch auf Bitlocker-Laufwerke zuzugreifen. Und am 8. Juli 2025 gab es einen Patch zum Schließen der Windows Security Feature Bypass-Schwachstelle CVE-2025-48804 in BitLocker.

Der Patch reicht nicht aus

Nun hat sich herausgestellt, dass die oben genannten Sicherheitsupdates vom Juli 2025 nicht ausreichen, um diesen Bitlocker-Downgrade-Angriff zu verhindern. Ich bin durch diesen von Cyber ​​​​Security News hier erstellten Tweet auf dieses Thema gestoßen.

Die Sicherheitsspezialisten von Intrinsec haben die Details eines Bitlocker-Downgrade-Angriffs bereits am 5. Mai 2026 im Artikel BitLocker-Bypass: Die Realität von Downgrade-Angriffen beschrieben. Fachleute verweisen auf den oben erwähnten Microsoft-Artikel und den Sommer-2025-Patch, der eine Schwachstelle in Bitlocker schließen soll.

• Die Angriffskette gegen BitLocker nutzt die WinRE-Umgebung aus. Der Bootmanager lädt die System Deployment Image (SDI)-Datei und die darin referenzierte WIM-Datei und überprüft die Integrität der legitimen WIM-Datei.
• Problem: Wenn der SDI-Datei jedoch eine zweite WIM-Datei mit einer geänderten Blob-Tabelle hinzugefügt wird, überprüft der Bootmanager die erste (legitime) WIM-Datei und bootet gleichzeitig von der zweiten (vom Angreifer kontrollierten) WIM-Datei.

Diese zweite WIM-Datei könnte nun ein mit „cmd.exe“ infiziertes WinRE-Image enthalten, das auf dem entschlüsselten BitLocker-Volume läuft und so auf Geheimnisse und Daten zugreift.

Der Patch vom Juli 2025 ersetzt den über Windows Update gepatchten Startup-Manager, unabhängig davon, ob dieser mit PCA 2011 oder CA 2023 signiert ist. Das Problem liegt woanders: Secure Boot überprüft nur das Signaturzertifikat einer Binärdatei, nicht deren Version. Die mit dem PCA 2011-Zertifikat signierte Schwachstelle „bootmgfw.efi“ ist aus Sicht des sicheren Starts genauso gültig wie eine gepatchte Version vor Juli 2025.

Soweit ich weiß, besteht das Problem darin, dass das alte PCA 2011-Zertifikat nicht generell widerrufen wurde (da es für Microsoft eine echte betriebliche Herausforderung darstellt). Das alte Zertifikat befindet sich immer noch in der sicheren Startdatenbank fast aller Computer, die es verwenden (außer bei neuen Windows-Installationen). Und solange das Zertifikat nicht widerrufen wird, kann auch ein alter und anfälliger Bootmanager geladen werden, ohne dass eine Warnung ausgelöst wird.

Genau hier kommt der BitUnlocker-Angriff ins Spiel. Ein Angreifer benötigt Zugriff auf den Computer, um die WinRE-Umgebung zu manipulieren. Aber ein Angriff auf Bitlocker wäre möglich. Der Computer ist vor diesem Angriff geschützt, wenn sich das neue PCA 2023-Zertifikat auf dem Computer befindet und das alte PCA 2011-Zertifikat gelöscht wurde. Insgesamt stufe ich das obige Szenario für den praktischen Betrieb als recht unkritisch ein, da einige Randbedingungen wie etwa ein Rechnerzugriff erforderlich sind. Details finden Sie in den verlinkten Artikeln.