BitUnlocker łamie Windows 11 w kilka minut. Twoje dane są zagrożone!

Nowe narzędzie BitUnlocker udowadnia, że fizyczny dostęp do komputera to wciąż największa pięta achillesowa bezpieczeństwa. Wykorzystując lukę w procesie Secure Boot, atakujący są w stanie zdjąć blokadę BitLocker w Windows 11 niemal błyskawicznie.

Jak działa BitUnlocker? Powrót luki, która miała być załatana

Podstawą ataku BitUnlocker jest luka oznaczona jako CVE-2025-48804, którą zespół STORM odkrył pierwotnie w lipcu 2025 roku. Choć Microsoft wydał odpowiednie łatki w ramach cyklu Patch Tuesday, specjaliści z firmy Intrinsec ostrzegają: zagrożenie wciąż jest realne. Problem leży w tym, jak system Secure Boot weryfikuje certyfikaty.

Atakujący wykorzystują swoistą lukę czasową między aktualizacją systemu a faktycznym unieważnieniem starych certyfikatów podpisu. Secure Boot sprawdza autentyczność menedżera rozruchu za pomocą certyfikatu, ale często ignoruje jego konkretny numer wersji. W efekcie haker może zmusić system do załadowania starszego, podatnego na błędy menedżera podpisanego certyfikatem „Microsoft Windows PCA 2011”, który wciąż uchodzi za zaufany na wielu maszynach.

Scenariusz ataku: Wystarczy zwykły pendrive

To, co najbardziej niepokoi w przypadku BitUnlocker, to prostota jego użycia. Do przeprowadzenia ataku nie potrzeba specjalistycznego, drogiego sprzętu ani zaawansowanej wiedzy technicznej. Kluczowe wymagania to:

• Fizyczny dostęp do docelowego urządzenia.
• Nośnik danych, taki jak zwykły pendrive USB lub serwer rozruchowy PXE.

Badacze wykazali, że po podłączeniu przygotowanego obrazu Windows, system automatycznie otwiera wiersz poleceń w momencie, gdy napęd BitLocker jest już odszyfrowany i zamontowany w pamięci. Cały proces trwa zaledwie kilka minut, pozostawiając dane użytkownika całkowicie odsłonięte.

Kto jest zagrożony i jak się bronić?

Szczególnie narażone są systemy, w których BitLocker polega wyłącznie na module TPM bez dodatkowego kodu PIN. W takiej konfiguracji moduł bezpieczeństwa automatycznie zwalnia klucz szyfrujący, nie wymagając żadnej interakcji ze strony użytkownika.

Istnieją jednak skuteczne metody obrony przed BitUnlocker:

• Konfiguracja TPM+PIN: Wymuszenie wpisania kodu PIN przed startem systemu blokuje możliwość automatycznego odszyfrowania danych.
• Nowe certyfikaty: Bezpieczne są komputery, które przeszły na nowszy standard certyfikacji „Windows UEFI CA 2023”.
• Aktualizacje: Eksperci zalecają niezwłoczne wdrożenie poprawki KB5025885 i weryfikację certyfikatów menedżera rozruchu w firmowych flotach komputerów.

BitLocker to za mało?

Pojawienie się publicznego dowodu koncepcji na GitHubie znacząco podnosi poprzeczkę dla działów IT. BitUnlocker pokazuje, że samo szyfrowanie dysku to tylko połowa sukcesu – bez odpowiedniej konfiguracji sprzętowej i dbania o aktualność certyfikatów UEFI, nasze dane w Windows 11 pozostają bezpieczne tylko tak długo, jak długo nikt niepowołany nie dotknie naszego laptopa.