BitLocker kwetsbaar door lek in Windows Recovery Environment

BitLocker moet vertrouwelijke gegevens ook tegen fysieke aanvallen beschermen. De Windows Recovery Environment (WinRE) blijkt die bescherming van BitLocker echter te kunnen omzeilen.

Microsoft heeft Windows voorzien van BitLocker, een schijfversleuteling die ook bestand moet zijn tegen fysieke aanvallen, bijvoorbeeld wanneer apparaten worden gestolen. Toch duiken er geregeld kwetsbaarheden op, zoals aanvallen waarbij secrets uit de TPM van een systeem worden uitgelezen. Een andere, momenteel breed toepasbare methode maakt gebruik van de Windows Recovery Environment.

Microsoft zelf documenteerde dergelijke aanvallen via WinRE onlangs nog in mei 2025 onder de naam BitUnlocker en bracht updates uit die daartegen bescherming moesten bieden. IT-onderzoekers van Intrinsec hebben nu echter een manier gevonden om die bescherming opnieuw te omzeilen, wederom via WinRE. Voor de praktische relevantie van de aanvallen is belangrijk dat fysieke toegang tot het systeem noodzakelijk is om de BitLocker-versleuteling te omzeilen.

Volgens de IT-onderzoekers begint de door Microsoft beschreven aanvalsketen ermee dat de Boot Manager het System Deployment Image (SDI) en het daarin gerefereerde WIM-bestand (Windows Image Format) laadt en de integriteit van de WIM controleert. Door een extra WIM aan de blob table toe te voegen, controleert de Boot Manager weliswaar het eerste WIM-bestand, maar laadt hij vervolgens ongecontroleerd een tweede WIM die door aanvallers wordt beheerd. Die tweede WIM bevat een WinRE-image dat een cmd.exe-proces kan starten, waarmee bij uitvoering toegang ontstaat tot de ontsleutelde BitLocker-schijf. BitLocker werd in de veelgebruikte Auto-Unlock-modus tijdens het opstarten ontgrendeld doordat de controle succesvol was verlopen (CVE-2025-48804, CVSS 6.8, risico “middelmatig”).

In juli 2025 verspreidde Microsoft bijgewerkte Boot Managers die het probleem moesten oplossen. Deze zijn ondertekend met de Secure Boot-certificaten PCA-2011 of CA-2023. Het nu ontdekte beveiligingslek zit erin dat Secure Boot alleen het certificaat van een binair bestand controleert, maar niet de versie ervan. Daardoor kan een kwetsbaar bestand “bootmgfw.efi” van vóór de beveiligingsupdate alsnog worden gestart, zolang het met het PCA-2011-certificaat is ondertekend. Vanuit het perspectief van Secure Boot is dat bestand net zo geldig als de gepatchte versie.

De Secure Boot-certificaten kunnen niet eenvoudig worden ingetrokken; dat blijkt ook uit de huidige overgang rond het aflopen van de oude certificaten uit 2011. Microsoft probeert de certificaten actief te vernieuwen en biedt vooral beheerders van bedrijfsnetwerken uitgebreide ondersteuning om de migratie te versnellen. Zolang de bijgewerkte certificaten echter niet overal zijn uitgerold en de verouderde certificaten niet zijn ingetrokken, blijft een aanval met een verouderde Boot Manager mogelijk — een klassieke downgrade-aanval. De IT-onderzoekers hebben bovendien een proof-of-concept (PoC) op GitHub gepubliceerd die de kwetsbaarheid demonstreert. Voor de aanval zijn slechts enkele minuten nodig en geen complexe apparatuur: een USB-stick en fysieke toegang volstaan.

Om de bescherming tegen dit soort aanvallen te verbeteren, adviseren de beveiligingsonderzoekers om een pincodeverificatie tijdens het opstarten te activeren. Dat voorkomt de meeste BitLocker-aanvallen en zou volgens hen de enige maatregel zijn die betrouwbaar bescherming biedt tegen deze aanvalsmethode. Microsoft adviseert daarnaast om de Boot Manager te migreren naar het CA-2023-certificaat en het oude PCA-2011-certificaat in te trekken. Een handleiding van Microsoft uit 2023 beschrijft die procedure. Daarbij wordt ook versiecontrole via de Secure Version Number (SVN) geactiveerd. Omdat deze tegenmaatregelen relatief omslachtig zijn, zijn ze nog niet breed ingevoerd.

Deze aanvalsmethode zal vermoedelijk verdwijnen zodra de oude PCA-2011-certificaten in oktober 2026 verlopen. De beschreven aanval onderstreept echter opnieuw dat de migratie naar de nieuwe Secure Boot-certificaten zo snel mogelijk moet plaatsvinden.

De kwetsbaarheid laat zien dat BitLocker in de standaardconfiguratie nog altijd gevoelig blijft voor fysieke aanvallen, vooral zolang oudere Secure Boot-certificaten geldig zijn. Voor organisaties die BitLocker inzetten als bescherming tegen apparaatdiefstal, wordt het daardoor steeds belangrijker om zowel de certificaatmigratie als aanvullende maatregelen zoals een opstart-PIN actief door te voeren.