BitUnlocker-Downgrade-Angriff auf Windows 11 möglich

Veröffentlicht am 12. Mai 2026 von Günter Born

WindowsIm Juli 2025 hat Microsoft Sicherheitsupdates für Windows freigegeben, um eine Bitlocker-Schwachstelle zu schließen, die eine Bitlocker-Downgrade-Attacke ermöglicht. Jetzt haben Sicherheitsforscher gezeigt, dass ein Bitlocker-Downgrade-Angriff auf Windows 11 möglich ist. Hängt mit den PCA 2011-Zertifikaten zusammen. Das Ganze erfordert aber Zugriff auf das lokale System.

Bitlocker-Sicherheitsupdates von 2025

Im August 2025 hat Microsoft im Artikel BitUnlocker: Leveraging Windows Recovery to Extract BitLocker Secrets einen BitUnlocker-Angriff beschrieben. Der verwendet die Windows-Wiederherstellung (Win RE-Umgebung) zum Extrahieren von BitLocker-Schlüsseln und damit zum Zugriff auf Bitlocker-Laufwerke. Und zum 8. Juli 2025 gab es einen Patch zum Schließen der Windows Security Feature Bypass-Schwachstelle CVE-2025-48804 in BitLocker.

Der Patch reicht nicht aus

Es hat sich nun herausgestellt, dass die oben erwähnten Sicherheitsupdates vom Juli 2025 nicht ausreichen, um diesen Bitlocker Downgrade-Angriff zu verhindern. Ich bin über nachfolgenden Tweet auf diesen Sachverhalt gestoßen, den Cyber Security News hier aufbereitet.

Windows 11: BitUnLocker-Angriff

Die Details eines Bitlocker-Downgrade-Angriffs haben die Sicherheitsspezialisten von Intrinsec bereits am 5. Mai 2026 im Artikel BitLocker bypass: the reality of downgrade attacks beschrieben. Die Spezialisten verweisen auf den oben erwähnten Microsoft-Beitrag und den Patch vom Sommer 2025, der eine Bitlocker-Schwachstellen schließen soll.

  • Die Angriffskette gegen BitLocker nutzt die WinRE-Umgebung aus. Der Boot-Manager lädt die System Deployment Image (SDI)-Datei und die darin referenzierte WIM-Datei und überprüft die Integrität der legitimen WIM-Datei.
  • Das Problem: Wird jedoch eine zweite WIM-Datei mit einer modifizierten Blob-Tabelle zur SDI-Datei hinzugefügt, überprüft der Boot-Manager die erste (legitime) WIM-Datei, während gleichzeitig von der zweiten (vom Angreifer kontrollierten) WIM-Datei gebootet wird.

Diese zweite WIM-Datei könnte nun ein mit `cmd.exe` infiziertes WinRE-Image enthalten, das auf dem entschlüsselten BitLocker-Volume ausgeführt wird und somit an die Geheimnisse und Daten herankommt.

Der Patch vom Juli 2025 ersetzt einen gepatchten Bootmanager über Windows Update, unabhängig davon, ob dieser mit PCA 2011 oder CA 2023 signiert war. Das Problem liegt woanders: Secure Boot überprüft nur das Signaturzertifikat einer Binärdatei, nicht deren Version. Eine anfällige `bootmgfw.efi` aus der Zeit vor Juli 2025, die mit dem PCA 2011-Zertifikat signiert ist, ist aus Sicht von Secure Boot genauso gültig wie die gepatchte Version.

Soweit ich es verstanden habe, besteht aber das Problem, dass das alte PCA-2011-Zertifikat jedoch nicht pauschal widerrufen wurde ( da dies für Microsoft eine echte operative Herausforderung darstelle). Das alte Zertifikat nach wie vor in der Secure-Boot-Datenbank fast aller im Einsatz befindlichen Rechner vorhanden (mit Ausnahme neuer Windows-Installationen). Und solange das Zertifikat nicht widerrufen wird, kann sogar ein alter, anfälliger Boot-Manager geladen werden, ohne dass eine Warnung ausgelöst wird.

Genau in diesem Bereich setzt der BitUnlocker-Angriff an. Der Angreifer benötigt zwar Zugriff auf den Rechner, um die WinRE-Umgebung zu manipulieren. Aber ein Angriff auf Bitlocker wäre möglich. Nur wenn das neue PCA 2023-Zertifikat auf dem Rechner vorhanden und das alte PCA-2011-Zertifikat gelöscht wurde, ist der Rechner gegen diesen Angriff geschützt. Insgesamt stufe ich das obige Szenario für den praktischen Betrieb als eher unkritisch ein, da einige Randbedingungen wie Zugriff auf den Rechner erforderlich sind. Details sind den verlinkten Beiträgen zu entnehmen.

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

3 Kommentare zu BitUnlocker-Downgrade-Angriff auf Windows 11 möglich

  1. Mark Heitbrink sagt:
    12. Mai 2026 um 10:22 Uhr

    Unkritisch.
    Wie jeder Angriff gegen Bitlocker: Das ist nur bei TPM ONLY erfolgreich.
    TPM+PIN hat bis jetzt jedem Angriff standgehalten.

    https://cybersecuritynews.com/bitunlocker-downgrade-attack-on-windows-11/
    […] Machines configured with TPM + PIN are protected, as the TPM will not unseal the VMK without user interaction during pre-boot authentication.

    Antworten
  2. T sagt:
    12. Mai 2026 um 11:01 Uhr

    Das Thema ist auch schon auf dem letzten CCC demonstriert worden.

    BitUnlocker: Leveraging Windows Recovery to Extract BitLocker Secrets

    GB: Hab mir jetzt die Videos nicht angesehen – vom Gefühl her war dort die Ausnutzung der Sicherheitslücken für Bitlocker-Downgrade der Hebel. Oben wird dann bei gepatchten Systemen das alte PCA-2011-Zertifikate-Problem als weiterer Angriffsvektor missbraucht. Aber vielleicht war es auf dem 39C3 auch schon in der Diskussion. Danke für den Hinweis.

    Antworten
  3. Anonym sagt:
    12. Mai 2026 um 11:02 Uhr

    Bitlocker ohne PIN war schon immer Mist.

    Antworten

Antworte auf den Kommentar von T Antwort abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.