{"id":311602,"date":"2025-05-18T08:28:48","date_gmt":"2025-05-18T06:28:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311602"},"modified":"2025-05-18T23:16:06","modified_gmt":"2025-05-18T21:16:06","slug":"windows-bitlocker-verschluesselung-ueber-bitpixie-cve-2023-21563-ausgehebelt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/05\/18\/windows-bitlocker-verschluesselung-ueber-bitpixie-cve-2023-21563-ausgehebelt\/","title":{"rendered":"Windows: Bitlocker-Verschl\u00fcsselung \u00fcber Bitpixie (CVE-2023-21563) ausgehebelt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die von Microsoft f\u00fcr Windows verwendete Bitlocker-Verschl\u00fcsselung f\u00fcr Datentr\u00e4ger l\u00e4sst sich \u00fcber die Bitpixie-Schwachstelle (CVE-2023-21563) per Software aushebeln, wenn gewisse Randbedingungen gelten. Ein Sicherheitsforscher hatn gezeigt, wie sich der Master-Key, bei fehlender Pre-Boot-Authentifizierung unter Windows binnen Minuten, ohne Hardware-Hack, aus dem Arbeitsspeicher auslesen und zur Entschl\u00fcsselung nutzen l\u00e4sst. Neu ist der Bitpixie-Angriff nicht, aber der gew\u00e4hlte Weg ist mit Windows-Komponenten m\u00f6glich – und der Exploit als PoC \u00f6ffentlich. Hier eine \u00dcbersicht.<\/p>\n

<\/p>\n

\"\"Zum Mai 2025-Patchday sind Windows-Nutzer ja erneut in die Bitlocker Recovery Key-Abfrage gelaufen – ich hatte im Blog-Beitrag Microsoft best\u00e4tigt Bitlocker-Boot-Probleme nach Windows 10\/11 Mai 2025-Update<\/a> erstmals berichtet. Wobei das alles nicht neu ist, wie nachfolgende Ausf\u00fchrungen und die Links auf Artikel am Beitragsende zeigen. Zum obigem Artikel kam dann ein Leserkommentar<\/a>, dass die Bitlocker-Verschl\u00fcsselung ausgehebelt worden sei. Weitere Kommentare wiesen darauf hin, dass das Problem l\u00e4nger bekannt sei. Hier ein kurzer Abriss, um was es geht.<\/p>\n

38c3: Bitlocker Bitpixie-Schwachstelle (CVE-2023-21563)<\/h2>\n

Ich springe mal einige Monate zur\u00fcck, ins Jahr 2024. Zum 28. Dezember 2024 gab es auf dem 38C3-Kongress des Chaos Computer Clubs den Vortrag Windows BitLocker: Screwed without a Screwdriver<\/a>. Sicherheitsexperte Thomas Lambertz zeigte, wie sich Microsofts Bitlocker-Verschl\u00fcsselung \u00fcber ein \"Downgrade\" einer gepatchten Schwachstelle aushebeln l\u00e4sst. Das ist der Weg, \u00fcber den Geheimdienste oder Strafverfolger mit Hilfe von Forensik-Unternehmen wie\u00a0Cellebrite<\/a> an verschl\u00fcsselte Daten herankommen.<\/p>\n

\"Beitr\u00e4ge<\/a>
\nProbleme mit Bitlocker, Screenshot bei 45:13 aus dem Vortrag auf dem 38C3, u.a. mit Referenz auf meinen Beitrag\u00a0Windows 10\/11 updates (e.g. KB5040442) trigger Bitlocker queries (July 2024)<\/a><\/em><\/p>\n

Ich hatte im Blog-Beitrag\u00a038C3: Bitlocker \u00fcber Schwachstellen ausgehebelt (Dez. 2024)<\/a> \u00fcber diesen Sachverhalt berichtet. Beim Scrollen durch den Beitrag stie\u00df ich dann auf obige Folie, auf der u.a. die englische Fassung eines meiner Blog-Beitr\u00e4ge zu Bitlocker-Problemen berichtet wird.<\/p>\n

Proof of Concept zur BitPixie-Schwachstelle CVE-2023-21563<\/h2>\n

Mir ist das Thema, auf das Nutzer in den Kommentaren hier<\/a> hingewiesen haben, die Tage auf X unter die Augen gekommen.<\/p>\n

\"Bitlocker<\/a><\/p>\n

Sicherheitsforscher Marc Tanner hat im Blog-Beitrag\u00a0Bypassing BitLocker Encryption: Bitpixie PoC and WinPE Edition<\/a> beschrieben, wie er Bitlocker per Software aushebeln kann. Tanner wurde durch den oben erw\u00e4hnten Vortrag von Thomas Lambertz bez\u00fcglich des Themas getriggert.<\/p>\n

Thomas Lambertz hatte zwar das Prinzip des Bitpixie-Angriffs auf dem 38C3 vorgestellt und im Januar 2025 in diesem Blog-Beitrag<\/a> beschrieben, aber seinen Exploit nicht ver\u00f6ffentlicht. Marc Tanner hat die Informationen von Lambertz genutzt, um einen\u00a0Bitpixie Linux Edition-Exploit mit seinem Red Team zu entwickeln. Er schrieb dazu: \"Um den Angriff vollst\u00e4ndig zu verstehen, die urspr\u00fcngliche Forschung zu reproduzieren und die konkreten Auswirkungen f\u00fcr unsere Kunden zu demonstrieren, habe ich mich daran gemacht, einen \u00f6ffentlichen Proof of Concept zu entwickeln.\"<\/p>\n

Tanner schreibt dazu, dass die Ausnutzung der missbrauchten Bitpixie-Schwachstelle nicht invasiv sei, und keine dauerhaften Ger\u00e4temodifikationen und kein komplettes Festplatten-Image erfordert. Dadurch sei eine schnelle (~5 Minuten) Kompromittierung und eine flexiblere Integration in bestimmte Social-Engineering-Szenarien m\u00f6glich.<\/p>\n

Im Grunde muss die zu knackende Maschine in WinRE gebootet und der Boot-Lader durch eine angreifbare Variante ersetzt werden. Thomas Lambertz hat dann ein Linux geladen, welches den Speicher auf Bitlocker Master-Key durchsucht.<\/p>\n

Marc Tanner ist, soweit ich es verstanden habe, der Angriff unter WinPE gelungen, indem er die gleichen Mechanismen verwendet, aber signierte Microsoft Windows-Komponenten benutzt. Er hat auf GitHub seinen\u00a0WinPmem-BitLocker<\/a> mit einer Beschreibung ver\u00f6ffentlicht.<\/p>\n

Theoretisch sollte der Exploit aus dem Proof of Concept (PoC) daher auf alle betroffenen Ger\u00e4te anwendbar sein, solange sie dem Microsoft Windows Production PCA 2011-Zertifikat vertrauen, das zum Signieren des anf\u00e4lligen Bootmanagers verwendet wird. Dieses Zertifikat wird aber durch Microsoft ausgetauscht, da es 2026 abl\u00e4uft (siehe den Beitrag\u00a0Frage: BlackLotus-Schwachstelle und ablaufendes UEFI-Zertifikat \u2013 was droht uns?<\/a>\u00a0 und die Artikel zu BlackLotos in der Link-Liste weiter unten).<\/p>\n

In der Praxis scheint das Exploit etwas weniger zuverl\u00e4ssig zu sein als sein Linux-basiertes Gegenst\u00fcck, schreibt Tanner (Lenovo f\u00e4hrt auf seinen Systemen wohl seinen eigenen Stiefel). Nichtsdestotrotz h\u00e4lt Tanner die bereitgestellten Automatisierungsskripte\u00a0 f\u00fcr hoffentlich n\u00fctzlich, um zu untersuchen, ob Ger\u00e4te betroffen sind.<\/p>\n

Was hilft gegen den Angriff?<\/h2>\n

Es wurde hier im Blog von Marc Heitbrink, aber auch von Marc Tanner in seinem Artikel angesprochen. Die Bitpixie-Schwachstelle – und ganz allgemein sowohl hardware- als auch softwarebasierte Angriffe – kann durch Erzwingen einer Pre-Boot-Authentifizierung entsch\u00e4rft werden<\/a>. Das hei\u00dft, bereits beim Booten wird eine zus\u00e4tzliche PIN- und\/oder eine Schl\u00fcsseldatei zur Authentifizierung angefordert.<\/p>\n

Fazit:<\/strong> Der jetzt bekannt gewordene Angriff ist nicht neues, sondern ein Proof of Concept, den Administratoren ggf. in eigenen Systemen testen k\u00f6nnen. Die Abhilfe gegen diese Angriffe wurde auch genannt. Details sind in den verlinkten Artikeln nachzulesen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows 10\/11 Updates (z.B. KB5040442) triggern Bitlocker-Abfragen (Juli 2024)<\/a>
\nWindows 10: Mai 2025-Update KB5058379 sperrt Systeme, triggert Bitlocker Recovery und BSODs<\/a>
\nMicrosoft best\u00e4tigt Bitlocker-Boot-Probleme nach Windows 10\/11 Mai 2025-Update<\/a>
\n38C3: Bitlocker \u00fcber Schwachstellen ausgehebelt (Dez. 2024)<\/a>
\nWindows-Bitlocker-Abfrage-Bug durch August 2024-Updates korrigiert<\/a><\/p>\n

KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)<\/a>
\nFrage: BlackLotus-Schwachstelle und ablaufendes UEFI-Zertifikat \u2013 was droht uns?<\/a>
\nWindows 10\/11 KB5053484: Neues PS-Script f\u00fcr Zertifikate in Boot-Medien<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die von Microsoft f\u00fcr Windows verwendete Bitlocker-Verschl\u00fcsselung f\u00fcr Datentr\u00e4ger l\u00e4sst sich \u00fcber die Bitpixie-Schwachstelle (CVE-2023-21563) per Software aushebeln, wenn gewisse Randbedingungen gelten. Ein Sicherheitsforscher hatn gezeigt, wie sich der Master-Key, bei fehlender Pre-Boot-Authentifizierung unter Windows binnen Minuten, ohne Hardware-Hack, aus … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8537,426,7459,301,2557],"tags":[62,24,4328,3288],"class_list":["post-311602","post","type-post","status-publish","format-standard","hentry","category-problem","category-sicherheit","category-software","category-windows","category-windows-server","tag-bitlocker","tag-problem","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311602","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=311602"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311602\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=311602"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=311602"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=311602"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}