BitLocker sorgt mal wieder für Gesprächsstoff in der Sicherheitscommunity. Wer glaubt, mit den Microsoft-Patches vom Juli 2025 sei das Thema vom Tisch, irrt sich. Das Team von Microsoft STORM hatte damals einen Angriffsweg über die Windows-Wiederherstellungsumgebung WinRE aufgezeigt. Dabei wird der Bootmanager ausgetrickst: Er prüft ein legitimes Abbild, startet aber ein manipuliertes zweites Abbild, in dem eine Shell mit Zugriff auf das entschlüsselte Laufwerk wartet.
Sicherheitsforscher berichten davon, wie sie mit einem aktualisierten Tool namens BitUnlocker alles umgehen können. Das Problem liegt im Secure Boot begraben. Dieser Mechanismus prüft zwar die Signatur einer Datei, aber nicht deren Alter. Ein alter Bootmanager von vor dem Patchday im Juli 2025 besitzt ein gültiges Zertifikat und wird vom System anstandslos akzeptiert. Da Microsoft das alte Zertifikat aus praktischen Gründen nicht flächendeckend für ungültig erklärt hat, lässt sich so ein Downgrade-Angriff durchführen. Ein Proof of concept findet sich hier.
In der Praxis muss allerdings physischer Zugriff auf den Rechner gegeben sein. Ein Angreifer schiebt dem System über USB oder das Netzwerk den alten, anfälligen Bootmanager und eine manipulierte Konfigurationsdatei unter. Da das Zertifikat noch in der Datenbank des Mainboards hinterlegt ist, rückt der TPM-Chip den BitLocker-Schlüssel ganz normal heraus. Innerhalb weniger Minuten öffnet sich eine Kommandozeile mit vollem Zugriff auf die Daten.
Wer sich schützen will, kommt um eine PIN beim Systemstart nicht herum. Das bleibt die einzig wirklich verlässliche Methode gegen solche physischen Angriffe, wie die Forscher ausführen. Microsoft bietet allerdings einen Weg an, auf neuere Zertifikate zu migrieren und alte Versionen über eine Secure Version Number zu sperren.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.