Hvis en pc bliver stjålet eller på anden vis havner i de forkerte hænder, så skal Bitlocker sørge for at beskytte følsomme data på Windows-maskiner.
Men nu viser det sig, at beskyttelsen kan omgås via Windows Recovery Environment (WinRE), hvilket sikkerhedseksperter fra Intrinsec ifølge det tysksprogede medie Heise har vist.
Metoden kræver fysisk adgang til computeren, men til gengæld kræver det ifølge sikkerhedseksperterne hverken avanceret udstyr eller lang tid at bryde beskyttelsen.
Microsoft lukkede en vej, nu er der dukket en ny op
Microsoft dokumenterede senest angreb via WinRE i maj 2025 – dengang under navnet BitUnlocker.
Selskabet udsendte efterfølgende opdateringer, som skulle beskytte mod denne type angreb, men nu er der altså dukket en ny måde op til at omgå Bitlocker.
Kernen i angrebet handler om den måde, Windows’ boot-manager håndterer filer under opstart og gendannelse.
I den angrebskæde, Microsoft tidligere beskrev, indlæser boot-manageren et System Deployment Image (SDI) og en tilhørende WIM-fil.
Boot-manageren kontrollerer integriteten af den første WIM-fil.
Men ved at tilføje endnu en WIM-fil kan cyberkriminelle få boot-manageren til at kontrollere den første fil, men indlæse en anden WIM-fil, som den cyberkriminelle selv kontrollerer, men som ikke bliver tjekket.
Den anden WIM-fil indeholder et WinRE-image, der kan starte cmd.exe.
Når det sker, kan den cyberkriminelle få adgang til det dekrypterede BitLocker-drev.
I den tidligere BitUnlocker-sag blev BitLocker låst op ved opstart i den udbredte auto-unlock-tilstand, fordi kontrollen blev omgået.
Sårbarheden blev dengang registreret som CVE-2025-48804 og fik en CVSS-score på 6,8, hvilket svarer til middel risiko.
Ny omgåelse bruger gammel boot-manager
I juli 2025 udsendte Microsoft opdaterede boot-managere, der skulle løse problemet.
De er signeret med Secure Boot-certifikaterne PCA-2011 eller CA-2023.
Den nye svaghed handler om, at Secure Boot kun kontrollerer certifikatet på en binær fil og ikke selve versionen.
Det betyder, at en gammel og sårbar version af bootmgfw.efi kan startes, hvis den blot er signeret med PCA-2011-certifikatet.
Set fra Secure Boot er den gamle fil nemlig stadig gyldig, selv om den er sårbar – ene og alene, fordi den er signeret med det rette certifikat.
Certifikater kan ikke bare trækkes tilbage
Problemet forstærkes af, at Secure Boot-certifikater ikke uden videre kan tilbagekaldes.
Det ses også i overgangen væk fra de gamle 2011-certifikater. Microsoft arbejder på at få certifikaterne opdateret og har udarbejdet vejledning til administratorer, så overgangen kan gennemføres hurtigere.
Men så længe de nye certifikater ikke er udrullet, og de gamle PCA-2011-certifikater ikke er tilbagekaldt, kan det omtalte angreb gennemføres.
Denne konkrete angrebsvej ventes at blive lukket, når de gamle PCA-2011-certifikater udløber i oktober 2026.
Men sikkerhedseksperternes fund viser, at overgangen til de nye Secure Boot-certifikater ikke bør trækkes i langdrag.
PIN ved opstart er den stærkeste beskyttelse
For at beskytte sig mod denne type angreb anbefaler sikkerhedseksperterne at aktivere en PIN-kode ved opstart.
Det er ifølge dem den eneste foranstaltning, der pålideligt beskytter mod angreb af denne type.
Microsoft anbefaler også, at boot-manageren migreres til CA-2023-certifikatet, og at det gamle PCA-2011-certifikat tilbagekaldes.
Microsoft har en vejledning fra 2023, der beskriver processen. Den aktiverer også versionssporing med Secure Version Number, SVN.
Udfordringen er, at tiltagene er relativt besværlige. Derfor er de ikke særligt udbredte.
