BitUnlocker: Verschlüsselte Windows-Medien liegen in Minuten offen
Mit einem neuen Tool namens BitUnlocker lässt sich die Festplattenverschlüsselung BitLocker auf Windows-11-Systemen binnen weniger Minuten aushebeln. Erforderlich ist allerdings ein physischer Zugriff auf den jeweiligen Rechner.
Der Angriff nutzt dabei eine Lücke zwischen dem Einspielen eines Patches und dem Widerruf alter Signaturzertifikate. Zwar prüft Secure Boot die Echtheit des Windows-Bootmanagers, allerdings nur anhand des verwendeten Zertifikats - nicht anhand der konkreten Versionsnummer. Das ältere Zertifikat "Microsoft Windows PCA 2011", mit dem frühere Bootmanager signiert wurden, gilt auf vielen Rechnern weiterhin als vertrauenswürdig.
Dadurch können Angreifer einen älteren, verwundbaren Bootmanager laden, obwohl aktuelle Sicherheitsupdates installiert sind. Laut den Forschern wird dabei ein manipuliertes Windows-Image eingebunden, das beim Start automatisch eine Eingabeaufforderung öffnet, während das BitLocker-Laufwerk bereits entschlüsselt und eingebunden ist.
Für den Angriff seien weder Spezialhardware noch tiefgreifende technische Modifikationen erforderlich. Benötigt würden lediglich physischer Zugriff auf das Zielgerät sowie ein USB-Stick oder ein PXE-Bootserver. Besonders gefährdet sind Systeme, bei denen BitLocker ausschließlich mit TPM-Schutz ohne zusätzliche PIN abgesichert ist. In diesen Fällen gibt das Trusted Platform Module den Schlüssel frei, ohne dass der Nutzer eingreifen muss.
Sicherheitsexperten raten insbesondere Unternehmen dringend, die Microsoft-Aktualisierung KB5025885 einzuspielen und die Bootmanager-Zertifikate zu überprüfen. Zudem sollte nach Möglichkeit eine zusätzliche PIN-Abfrage beim Systemstart aktiviert werden. Die Veröffentlichung eines frei verfügbaren Proof-of-Concepts auf GitHub erhöht nach Einschätzung der Forscher den Druck auf Unternehmen, ihre BitLocker-Konfigurationen rasch zu überprüfen.
Download DiskCryptor - Open-Source-Verschlüsselungs-Tool
Siehe auch:
Alte Schwachstelle als Basis
Grundlage des Angriffs ist die Schwachstelle CVE-2025-48804, die Microsoft bereits im Juli 2025 im Rahmen seines Patch Tuesday geschlossen hatte. Entdeckt wurde sie ursprünglich vom internen Forschungsteam Security Testing & Offensive Research (STORM). Wie das Sicherheitsunternehmen Intrinsec nun erläuterte, kann die Attacke trotz installierter Patches gelingen.Der Angriff nutzt dabei eine Lücke zwischen dem Einspielen eines Patches und dem Widerruf alter Signaturzertifikate. Zwar prüft Secure Boot die Echtheit des Windows-Bootmanagers, allerdings nur anhand des verwendeten Zertifikats - nicht anhand der konkreten Versionsnummer. Das ältere Zertifikat "Microsoft Windows PCA 2011", mit dem frühere Bootmanager signiert wurden, gilt auf vielen Rechnern weiterhin als vertrauenswürdig.
Dadurch können Angreifer einen älteren, verwundbaren Bootmanager laden, obwohl aktuelle Sicherheitsupdates installiert sind. Laut den Forschern wird dabei ein manipuliertes Windows-Image eingebunden, das beim Start automatisch eine Eingabeaufforderung öffnet, während das BitLocker-Laufwerk bereits entschlüsselt und eingebunden ist.
Für den Angriff seien weder Spezialhardware noch tiefgreifende technische Modifikationen erforderlich. Benötigt würden lediglich physischer Zugriff auf das Zielgerät sowie ein USB-Stick oder ein PXE-Bootserver. Besonders gefährdet sind Systeme, bei denen BitLocker ausschließlich mit TPM-Schutz ohne zusätzliche PIN abgesichert ist. In diesen Fällen gibt das Trusted Platform Module den Schlüssel frei, ohne dass der Nutzer eingreifen muss.
Was zu tun ist
Geschützt sind hingegen Systeme mit TPM-plus-PIN-Konfiguration, da hier eine zusätzliche Authentifizierung vor dem Start notwendig ist. Ebenfalls abgesichert sind Rechner, die bereits auf das neuere Zertifikat "Windows UEFI CA 2023" umgestellt wurden.Sicherheitsexperten raten insbesondere Unternehmen dringend, die Microsoft-Aktualisierung KB5025885 einzuspielen und die Bootmanager-Zertifikate zu überprüfen. Zudem sollte nach Möglichkeit eine zusätzliche PIN-Abfrage beim Systemstart aktiviert werden. Die Veröffentlichung eines frei verfügbaren Proof-of-Concepts auf GitHub erhöht nach Einschätzung der Forscher den Druck auf Unternehmen, ihre BitLocker-Konfigurationen rasch zu überprüfen.
Download DiskCryptor - Open-Source-Verschlüsselungs-Tool
Zusammenfassung
- BitUnlocker hebt BitLocker-Verschlüsselung auf Windows-11-Geräten in Minuten auf
- Angriff nutzt CVE-2025-48804-Schwachstelle, die Microsoft im Juli 2025 schloss
- Secure Boot prüft nur das Signaturzertifikat, nicht die Bootmanager-Versionsnummer
- Alte Zertifikate wie Microsoft Windows PCA 2011 gelten weiterhin als vertrauenswürdig
- Systeme mit TPM plus PIN sind geschützt, da eine Authentifizierung vor dem Start nötig ist
- Unternehmen sollten Update KB5025885 einspielen und Bootmanager-Zertifikate prüfen
- Ein öffentlicher Proof-of-Concept auf GitHub erhöht den Handlungsdruck auf Unternehmen
Siehe auch:
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen