![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
Im Juli 2025 hat Microsoft Sicherheitsupdates f\u00fcr Windows freigegeben, um eine Bitlocker-Schwachstelle zu schlie\u00dfen, die eine Bitlocker-Downgrade-Attacke erm\u00f6glicht. Jetzt haben Sicherheitsforscher gezeigt, dass ein Bitlocker-Downgrade-Angriff auf Windows 11 m\u00f6glich ist. H\u00e4ngt mit den PCA 2011-Zertifikaten zusammen. Das Ganze erfordert aber Zugriff auf das lokale System.<\/p>\n
<\/p>\n
Es hat sich nun herausgestellt, dass die oben erw\u00e4hnten Sicherheitsupdates vom Juli 2025 nicht ausreichen, um diesen Bitlocker Downgrade-Angriff zu verhindern. Ich bin \u00fcber nachfolgenden Tweet auf diesen Sachverhalt gesto\u00dfen, den Cyber Security News hier aufbereitet<\/a>.<\/p>\n Die Details eines Bitlocker-Downgrade-Angriffs haben die Sicherheitsspezialisten von Intrinsec bereits am 5. Mai 2026 im Artikel BitLocker bypass: the reality of downgrade attacks<\/a> beschrieben. Die Spezialisten verweisen auf den oben erw\u00e4hnten Microsoft-Beitrag und den Patch vom Sommer 2025, der eine Bitlocker-Schwachstellen schlie\u00dfen soll.<\/p>\n Diese zweite WIM-Datei k\u00f6nnte nun ein mit `cmd.exe` infiziertes WinRE-Image enthalten, das auf dem entschl\u00fcsselten BitLocker-Volume ausgef\u00fchrt wird und somit an die Geheimnisse und Daten herankommt.<\/p>\n Der Patch vom Juli 2025 ersetzt einen gepatchten Bootmanager \u00fcber Windows Update, unabh\u00e4ngig davon, ob dieser mit PCA 2011 oder CA 2023 signiert war. Das Problem liegt woanders: Secure Boot \u00fcberpr\u00fcft nur das Signaturzertifikat einer Bin\u00e4rdatei, nicht deren Version. Eine anf\u00e4llige `bootmgfw.efi` aus der Zeit vor Juli 2025, die mit dem PCA 2011-Zertifikat signiert ist, ist aus Sicht von Secure Boot genauso g\u00fcltig wie die gepatchte Version.<\/p>\n Soweit ich es verstanden habe, besteht aber das Problem, dass das\u00a0alte PCA-2011-Zertifikat jedoch nicht pauschal widerrufen wurde ( da dies f\u00fcr Microsoft eine echte operative Herausforderung darstelle). Das alte Zertifikat nach wie vor in der Secure-Boot-Datenbank fast aller im Einsatz befindlichen Rechner vorhanden (mit Ausnahme neuer Windows-Installationen). Und solange das Zertifikat nicht widerrufen wird, kann sogar ein alter, anf\u00e4lliger Boot-Manager geladen werden, ohne dass eine Warnung ausgel\u00f6st wird.<\/p>\n Genau in diesem Bereich setzt der BitUnlocker-Angriff an. Der Angreifer ben\u00f6tigt zwar Zugriff auf den Rechner, um die WinRE-Umgebung zu manipulieren. Aber ein Angriff auf Bitlocker w\u00e4re m\u00f6glich. Nur wenn das neue PCA 2023-Zertifikat auf dem Rechner vorhanden und das alte PCA-2011-Zertifikat gel\u00f6scht wurde, ist der Rechner gegen diesen Angriff gesch\u00fctzt. Insgesamt stufe ich das obige Szenario f\u00fcr den praktischen Betrieb als eher unkritisch ein, da einige Randbedingungen wie Zugriff auf den Rechner erforderlich sind. Details sind den verlinkten Beitr\u00e4gen zu entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":" Im Juli 2025 hat Microsoft Sicherheitsupdates f\u00fcr Windows freigegeben, um eine Bitlocker-Schwachstelle zu schlie\u00dfen, die eine Bitlocker-Downgrade-Attacke erm\u00f6glicht. Jetzt haben Sicherheitsforscher gezeigt, dass ein Bitlocker-Downgrade-Angriff auf Windows 11 m\u00f6glich ist. H\u00e4ngt mit den PCA 2011-Zertifikaten zusammen. Das Ganze erfordert aber … Weiterlesen Im August 2025 hat Microsoft im Artikel\u00a0BitUnlocker: Leveraging Windows Recovery to Extract BitLocker Secrets<\/a> einen BitUnlocker-Angriff beschrieben. Der verwendet die Windows-Wiederherstellung (Win RE-Umgebung) zum Extrahieren von BitLocker-Schl\u00fcsseln und damit zum Zugriff auf Bitlocker-Laufwerke. Und zum 8. Juli 2025 gab es einen Patch zum Schlie\u00dfen der\u00a0Windows Security Feature Bypass-Schwachstelle\u00a0CVE-2025-48804<\/a> in BitLocker.<\/p>\n
Der Patch reicht nicht aus<\/h2>\n
![\"Windows](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/Win11-BitUnLocker.jpg\")
<\/p>\n\n