Pesquisadores da empresa de segurança Intrinsec revelaram recentemente uma ferramenta chamada “BitUnlocker” que pode ignorar a criptografia de disco BitLocker do Windows 11 em menos de 5 minutos usando apenas o modo de proteção TPM (Trusted Platform Module). A ferramenta explora o chamado “ataque de downgrade” que explora o intervalo de tempo entre o momento em que o software é corrigido e os certificados antigos são revogados. Ao carregar componentes mais antigos, mas ainda confiáveis, ele abre um disco protegido pelo BitLocker.
Este ataque está relacionado à vulnerabilidade de segurança numerada CVE-2025-48804, que está localizada no mecanismo de processamento do Ambiente de Recuperação do Windows (Ambiente de Recuperação do Windows) e Imagem de Implantação do Sistema (Imagem de Implantação do Sistema). A Microsoft lançou um patch em julho de 2025 para corrigi-lo. No entanto, os pesquisadores apontaram que mesmo que a vulnerabilidade seja corrigida, desde que o certificado antigo ainda seja confiável para o sistema, ele ainda poderá ser contornado através do caminho de downgrade.
A julgar pelas condições de ataque, o BitUnlocker não é uma ferramenta de ataque remoto. O invasor deve primeiro obter acesso físico ao dispositivo alvo. Por exemplo, um invasor pode usar uma unidade flash USB pré-preparada para fornecer ao Gerenciador de inicialização do Windows um arquivo de imagem do Windows (WIM) totalmente formatado e assinado que passe na verificação de integridade durante a fase de inicialização, incluindo uma carga maliciosa. Depois que o sistema verifica o arquivo de imagem “limpo”, ele continua a lançar incondicionalmente o código malicioso nele contido, obtendo assim acesso ao volume descriptografado.
A verdadeira chave é que ele aproveita o espaço de “substituição” na cadeia de certificados. Atualmente, o certificado raiz Windows PCA 2011 da Microsoft ainda é globalmente confiável pelo Secure Boot, que fornece aos invasores espaço de downgrade: eles podem carregar uma versão mais antiga do binário do gerenciador de inicialização que contém vulnerabilidades conhecidas, e a versão antiga do arquivo ainda pode passar na verificação de assinatura do Secure Boot e ser executada pelo sistema como um componente legítimo.
Este ataque é um aviso severo para usuários regulares de PC e entusiastas que dependem exclusivamente da configuração padrão do TPM para usar o BitLocker. Quando o gerenciador de inicialização herdado rebaixado está em execução, o TPM ainda verifica as medidas de inicialização de acordo com o processo existente e as compara com o certificado PCA 2011 ainda confiável. Como o ambiente do sistema “parece normal” sob sua perspectiva, o TPM desbloqueará a chave mestra de volume do BitLocker sem nenhuma anormalidade e todo o processo não acionará nenhum mecanismo de alarme.
Atualmente, o maior “buffer” para esta cadeia de ataque ainda é o pré-requisito para o contato físico com o dispositivo. Para sistemas com TPM e configuração de PIN de pré-inicialização ativados, ataques como o BitUnlocker perderão o escopo: o TPM requer etapas adicionais de entrada manual antes de liberar a chave. Contanto que o PIN não vaze, é difícil para um invasor físico concluir todo o processo de downgrade e obter a chave de descriptografia.
Além disso, os dispositivos que concluíram a atualização KB5025885 e migraram a cadeia confiável de inicialização segura para o novo certificado digital UEFI CA 2023 do Windows podem basicamente bloquear esse caminho de downgrade. Nesta configuração, os componentes de inicialização herdados que dependem do PCA 2011 não são mais confiáveis e não podem ser usados como pontos de entrada. Os investigadores enfatizaram que os utilizadores e as empresas devem verificar o mais rapidamente possível se os seus sistemas concluíram as atualizações relevantes e, se as condições o permitirem, ativar medidas de proteção adicionais, como PINs de pré-inicialização, para reduzir o risco de ataques físicos.
saber mais:
https://github.com/garatc/BitUnlocker