Sicherheitsforscher des französischen Unternehmens Intrinsec haben einen Proof of Concept (PoC) veröffentlicht, der zeigt, dass vollständig gepatchte Windows-Systeme unter bestimmten Voraussetzungen weiterhin anfällig für BitLocker-Bypass-Angriffe sind. Grundlage ist eine Angriffskette, die Microsoft eigentlich schon im Juli 2025 geschlossen hatte – zumindest in der Theorie.

Den Ausgangspunkt lieferte das Microsoft-STORM-Team, das im Juli 2025 eine vollständige Angriffskette gegen BitLocker dokumentierte. Im Kern nutzte die Methode eine Lücke im WinRE-Boot-Prozess: Der Boot Manager lädt beim Start eine SDI-Datei (System Deployment Image) und prüft dabei die Integrität des darin referenzierten WIM-Images.

Fügt ein Angreifer jedoch ein zweites, manipuliertes WIM in die SDI ein, verifiziert der Boot Manager nur das erste legitime WIM, bootet aber tatsächlich das zweite – das eine präparierte WinRE-Umgebung mit einer integrierten cmd.exe enthält. Diese Shell startet dann mit Zugriff auf das entschlüsselte BitLocker-Volume. insgesamt vier Schwachstellen wurden damals gepatcht (CVE-2025-48800, CVE-2025-48003, CVE-2025-48804, CVE-2025-48818) und die betroffenen Systeme erhielten über Windows Update einen neuen Boot Manager.

Zertifikatsprüfung ausgehebelt

Das eigentliche Problem liegt jedoch in einem strukturellen Merkmal von Secure Boot: Es prüft ausschließlich das Signaturzertifikat einer Binary, nicht deren Version. Ein verwundbarer bootmgfw.efi von vor Juli 2025, signiert mit dem älteren PCA-2011-Zertifikat, ist aus Sicht von Secure Boot genauso gültig wie die gepatchte Variante.

Da Microsoft das PCA-2011-Zertifikat nicht flächendeckend widerrufen hat, was aufgrund der operativen Komplexität und möglicher Kompatibilitätsprobleme bisher ausblieb. Es ist in der Secure-Boot-Datenbank nahezu aller produktiv genutzten Maschinen weiterhin hinterlegt – einzige Ausnahme sind neuere Windows-Installationen. Und genau das macht Downgrade-Angriffe möglich: Ein Angreifer spielt schlicht einen alten, verwundbaren Boot Manager ein.

Der Angriff selbst ist laut Intrinsec mit überschaubarem Aufwand durchführbar. Benötigt wird physischer Zugriff auf das Zielgerät sowie ein präparierter USB-Stick oder ein PXE-Server, der einen alten PCA-2011-signierten Boot Manager, eine modifizierte BCD-Datei und eine SDI-Datei mit einem kompromittierten WinRE-Image ausliefert.

Das Zielsystem bootet den alten Boot Manager, der das manipulierte WinRE lädt, ohne die Manipulation zu erkennen. Der TPM gibt den BitLocker-Schlüssel regulär frei, weil die PCR-Messungen 7 und 11 gültig bleiben – PCA 2011 ist ja nach wie vor im Secure-Boot-Trust-Store. Das Ergebnis: eine geöffnete Shell mit entschlüsseltem und gemountem OS-Volume, nach wenigen Minuten, ohne spezialisiertes Equipment.

Pre-Boot-PIN bietet Schutz

Für IT-Administratoren gibt es drei relevante Gegenmaßnahmen in unterschiedlicher Wirksamkeit. Die einzige Maßnahme, die zuverlässig schützt, ist die Aktivierung eines Pre-Boot-PINs (TPM+PIN) – sie unterbindet den automatischen TPM-Unlock und macht den Angriff hinfällig.

Darüber hinaus empfiehlt Microsoft, den Boot Manager auf das neuere CA-2023-Zertifikat zu migrieren und das PCA-2011-Zertifikat über das in KB5025885 beschriebene Verfahren zu widerrufen, was zudem das neue SVN-basierte (Secure Version Number) Versions-Tracking aktiviert. Allerdings ist diese Migration komplex und für Endnutzer wenig komfortabel, weshalb sie bislang nur selten umgesetzt wurde, was die Angriffsfläche in der Breite offen hält.