Nov napad na Windows 11 omogoča dostop do šifriranih diskov v le 5 minutah

Nadobudni zanesenjaki so nedavno razvili praktičen dokaz koncepta, ki temelji na ranljivosti CVE-2025-48804. Gre za eno izmed štirih kritičnih pomanjkljivosti operacijskega sistema Windows 11, ki jih je Microsoftova ekipa STORM odkrila in julija 2025 s posodobitvijo “Patch Tuesday” tudi uradno odpravila. Težava pa se še vedno nahaja v okolju za obnovitev sistema Windows (WinRE) in sicer v mehanizmu datotek za namestitev slik sistema (SDI).

Pri tem napadu nepridipravi dejansko najprej naloži legitimno datoteko WIM za preverjanje celovitosti, hkrati pa dovoli, da se v tabelo SDI doda še druga, zlonamerna datoteka WIM pod njegovim nadzorom. Čeprav sistem preveri prvo datoteko, se dejansko zažene iz druge, ki vsebuje prirejeno okolje WinRE. To napadalcu odpre ukazni poziv (cmd.exe) z že odklenjenim in nameščenim diskom BitLocker.

Kljub temu da je Microsoft julija 2025 izdal popravljeno binarno datoteko bootmgfw.efi, sama posodobitev ne zapre poti za napad. Glavna šibkost namreč ni v manjkajočem popravku, temveč v nepreklicanem potrdilu za podpisovanje. Funkcija Secure Boot preverja digitalno potrdilo, ne pa številke različice datoteke. Staro potrdilo Microsoft Windows PCA 2011, ki je podpisovalo vse upravitelje zagona pred popravkom, ostaja zaupanja vredno v večini baz podatkov Secure Boot.

To pomeni, da Secure Boot različico upravitelja zagona, ki je bila izdana pred julijem 2025, še vedno obravnava kot popolnoma veljavno, čeprav je ranljiva. Množičen preklic potrdila PCA 2011 bi za Microsoft predstavljal prevelik operativni izziv, saj bi onemogočil širok spekter legitimnih programov. Napadalec pa za izvedbo napada potrebuje le fizični dostop do delovne postaje ter USB ključ ali strežnik za omrežni zagon (PXE).

V manj kot petih minutah lahko napadalec pripravi prirejene podatke o konfiguraciji zagona (BCD) in prek USB ključa naloži star, ranljiv upravitelj zagona. Ker je ta podpisan s potrdilom PCA 2011, Secure Boot ne zazna težav, modul TPM pa sprosti glavni ključ za BitLocker brez kakršnih koli opozoril. Rezultat je popoln dostop do dešifriranih podatkov na operacijskem sistemu.

Sistemi, ki uporabljajo BitLocker samo z modulom TPM (brez kode PIN), so ranljivi. Naprave, ki zahtevajo TPM + PIN, ostajajo varne, saj modul ne sprosti ključa brez interakcije uporabnika. Prav tako so varni sistemi, ki so zaključili migracijo na novejše potrdilo Windows UEFI CA 2023.

Varnostne ekipe morajo nemudoma ukrepati. Omogočiti morajo preverjanje TPM + PIN, ki je najučinkovitejši nadzor, ki prepreči avtomatsko sprostitev ključa. Poleg tega se priporoča namestitev posodobitve KB5025885 ter preverjanje potrdila upravitelja zagona, in sicer s pomočjo orodja sigcheck potrdimo, da je naš bootmgfw.efi podpisan s CA 2023. Pri tem pogaga tudi odstranitev particije WinRE na kritičnih sistemih, kjer ni mogoče uporabiti kode PIN, kar v praski zmanjša možnost za morebitne napade.