BitUnlocker: Tool knackt BitLocker auf Windows 11 in Minuten

13
News Sven Bauduin Als bevorzugte Quelle auf Google hinzufügen
BitUnlocker: Tool knackt BitLocker auf Windows 11 in Minuten
Quelle: Microsoft / Montage: Sven Bauduin

Ein neues Proof-of-Concept-Tool namens BitUnlocker hebelt die BitLocker-Verschlüsselung auf Windows-11-Systemen in wenigen Minuten aus. Wir erklären, wie der Angriff funktioniert, welche Systeme betroffen sind und was jetzt zu tun ist.

Ein Sicherheitsforscher hat jetzt ein Proof-of-Concept-Tool namens BitUnlocker veröffentlicht, welches die als sicher geltende BitLocker-Festplattenverschlüsselung auf Systemen mit Windows 11 innerhalb von wenigen Minuten aushebeln kann. Das Erschreckende daran ist, der Angriff funktioniert selbst dann, wenn alle aktuellen Sicherheitspatches von Microsoft für das Betriebssystem eingespielt wurden.

Alter Bekannter in neuem Gewand

Wer gedacht hatte, mit dem Juli-2025-Patchday von Microsoft sei die Schwachstelle CVE-2025-48804 endgültig Geschichte, der sieht sich nun eines Besseren belehrt. Das Sicherheitsunternehmen Intrinsec hat jetzt in seiner aktuellen Analyse aufgezeigt, wie Angreifer diese Lücke trotz eingespielter Patches auch weiterhin "erfolgreich" ausnutzen können. Ein öffentlich verfügbares Tool auf GitHub macht diese Angriffsmethode jetzt für jedermann zugänglich: der BitUnlocker.

Gepatcht ist nicht gleich geschlossen

Entdeckt wurde CVE-2025-48804 ursprünglich vom internen Microsoft-Forschungsteam Security Testing & Offensive Research ("STORM"). Geschlossen, so dachte man. Doch die Realität zeigt: Gepatcht ist nicht gleich abgesichert. Das Herzstück des Angriffs ist eine klassische Downgrade-Attacke.

So funktioniert der Angriff: Downgrade statt Brute-Force

Secure Boot, Microsofts Schutzmechanismus gegen manipulierte Bootprozesse, prüft die Echtheit des Windows-Bootmanagers anhand des verwendeten Signaturzertifikats, jedoch nicht anhand der konkreten Versionsnummer der Software und hier liegt die Schwachstelle an welcher der Proof-of-Concept von BitUnlocker ansetzt.

BitUnlocker - Option A Quelle: GitHub Das ältere Signaturzertifikat "Microsoft Windows PCA 2011", mit dem frühere Bootmanager-Versionen signiert wurden, gilt auf einer Vielzahl von Systemen nach wie vor als vertrauenswürdig. Ein Angreifer kann daher einen älteren, verwundbaren Bootmanager einschleusen, den Secure Boot anstandslos akzeptiert, obwohl dieser dementsprechend längst bekannte Sicherheitslücken enthalten kann.

BitUnlocker - Option B Quelle: GitHub Das Ergebnis ist erschreckend simpel: Ein manipuliertes Windows-Systemabbild wird eingebunden, das beim Systemstart automatisch eine Eingabeaufforderung öffnet, während das BitLocker-Laufwerk schon zu diesem Zeitpunkt bereits vollständig entschlüsselt und eingebunden ist. Der Angreifer hat also freien Zugriff.

Physischer Zugriff und ein USB-Stick reichen

Besonders alarmierend ist die niedrige Einstiegshürde. Für den Angriff sind weder teure Spezialhardware noch tiefgreifende Modifikationen am Zielsystem erforderlich. Was Angreifer benötigen, ist lediglich:

  • Physischer Zugriff auf das Zielgerät
  • Ein handelsüblicher USB-Stick oder ein PXE-Bootserver

Das macht BitUnlocker zu einer ernsthaften Bedrohung, besonders in Szenarien wie Laptop-Diebstahl, unbeaufsichtigten Arbeitsplätzen oder physische "Evil Maid"-Angriffe. Was ist also zu tun, um sich zu schützen? Microsofts eigene Sicherheitsexperten empfehlen folgende Maßnahmen:

  • Update KB5025885 einspielen: Dieses Microsoft-Update regelt die Verwaltung von Windows-Bootmanager-Widerrufen im Kontext von Secure Boot und sollte auf allen betroffenen Systemen installiert sein.
  • Bootmanager-Zertifikate prüfen: Stellt sicher, dass das ältere "Microsoft Windows PCA 2011"-Zertifikat auf euren Systemen widerrufen bzw. deaktiviert ist.
  • BitLocker-PIN aktivieren: Richtet für alle BitLocker-geschützten Systeme eine zusätzliche Pre-Boot-PIN ein. Dies ist die effektivste Schutzmaßnahme gegen diesen Angriff.
  • Migration auf UEFI CA 2023: Unternehmen sollten die Umstellung auf das neuere UEFI-Zertifikat prioritär planen und umsetzen.

Die Veröffentlichung von BitUnlocker als frei zugänglicher Proof-of-Concept auf GitHub ist ein zweischneidiges Schwert: Einerseits ermöglicht sie IT-Forschern und Verantwortlichen, die Bedrohungslage besser zu verstehen und die eigenen Systeme zu testen. Andererseits senkt sie die Hürde für potenzielle Angreifer erheblich, denn das Tool ist nun für jedermann verfügbar. Fazit: Gepatcht ist nicht gleich sicher.

Ihre Meinung ist gefragt!

Wie stehen Sie zu diesem Thema? Die PCGH-Redaktion freut sich über Ihre fundierte Meinung in den Kommentaren zu dieser Meldung. Um zu kommentieren, müssen Sie auf PCGH.de oder im Extreme-Forum eingeloggt sein. Sollten Sie bisher noch keinen Account haben, könnten Sie sich hier unverbindlich registrieren. Beachten Sie beim Kommentieren aber bitte die geltenden Forenregeln.

Quelle: GitHub, Microsoft via WinFuture

13

    • Kommentare (13)

      Zur Diskussion im Forum
      • Von Olstyle Trockeneisprofi (m/w)
        Zitat von Cleriker
        Ja klar, diese winzig kleine Hürde, dass ein Fremder sich gewaltsam oder durch List Zugang zu deiner Wohnung verschafft
        Es gibt sowas wie Laptops, die nicht immer nur zu Hause unterwegs sind. Gerade da ist im Privatbereich Bitlocker quasi die einzige Sicherheitsebene nach einem Diebstahl.

        Wobei das auch nur ein Proof of Concept ist. Die Option
        Zitat

        PXE-Bootserver
        Zusammen mit etwas Phishing könnte noch schlimmere Angriffe ermöglichen bei denen es reicht im selben VLAN zu sein. Was in diversen Unternehmen immernoch nur heißt physikalischen Zugang zu irgendeiner Netzwerkdose auf dem Gelände zu bekommen.
        Zitieren
      • Von Olstyle Trockeneisprofi (m/w)
        Zitat von Cleriker
        Ja klar, diese winzig kleine Hürde, dass ein Fremder sich gewaltsam oder durch List Zugang zu deiner Wohnung verschafft
        Es gibt sowas wie Laptops, die nicht immer nur zu Hause unterwegs sind. Gerade da ist im Privatbereich Bitlocker quasi die einzige Sicherheitsebene nach einem Diebstahl.

        Wobei das auch nur ein Proof of Concept ist. Die Option
        Zitat

        PXE-Bootserver
        Zusammen mit etwas Phishing könnte noch schlimmere Angriffe ermöglichen bei denen es reicht im selben VLAN zu sein. Was in diversen Unternehmen immernoch nur heißt physikalischen Zugang zu irgendeiner Netzwerkdose auf dem Gelände zu bekommen.
        Zitieren
      • Von _Oskar_ Software-Overclocker(in)
        Zitat von Ranock123
        gibt es überhaupt jemanden der BitLocker verwendet?
        Ich denke, es werden sich „sehr, sehr viele Menschen” davon abwenden, ist ja auch völlig logisch.
        Zitieren
      • Von Ranock123 PC-Selbstbauer(in)
        gibt es überhaupt jemanden der BitLocker verwendet?
        Zitieren
      • Von Incredible Alk Flüssigstickstoff-Guru (m/w)
        Zitat von Cleriker
        Ne, eben nicht. Egal ob fertig-PC, oder Laptop. Die haben fast alle seit Jahren schon Herstellersoftware wie den Huawei Manager, Lenovo vantage usw. die nicht nur das Ladeverhalten des Akkus beeinflusst, sondern beim runterfahren selbstständig das BIOS aktualisiert.
        Das kenne ich von Firmengeräten (mein Arbeitslaptop macht gefühlt alle 6 Wochen ein BIOS-Update...), aber ich habe nur selten private Laptops gesehen, die sowas von sich aus gemacht haben (sämtliche Laptops der Familie schon mal nicht, das sind ASUS und Acer-Teile mit uralten BIOS-Versionen drauf) - und Stand-PCs kenne ich keinen einzigen der jemals selbstständig (und abseits von Windowsupdate) ein BIOS-Update gemacht hätte.

        Die Neue-Zertifikate-Nummer erfordert ja grade viele Updates von älteren Geräten. Keins, absolut gar keines der privaten Geräte in meinem Umfeld hat jemals ein BIOS-Update bekommen. Weder automatisch noch durch seinen Besitzer. Oder anders gesagt: Ich habe in den letzten 2 Monaten wahrscheinlich mehr BIOS-Updates gemacht als in den 5 Jahren davor zusammen.
        Zitieren
      • Von Cleriker Kokü-Junkie (m/w)
        Zitat von Incredible Alk
        [Ins Forum, um diesen Inhalt zu sehen]
        Theorie <--> Praxis und so.

        Natürlich hat man das Problem nicht wenn man sein System einschließlich BIOS immer auf dem neuesten Stand hält, seinen PC vor Fremdzugriff schützt und notfalls mehrere Backupinstanzen physisch getrennt aufrechterhält. Das ist aber das Leben eines Nerds, nicht das eines Normalbürgers.

        Die Realität ist, dass die allermeisten privaten Endanwender-PCs all das nicht haben. Beim Michel daheim steht ein 5+ Jahre alter Fertig-PC oder Laptop dessen BIOS genauso 5 Jahre alt ist und nicht remote per Win11 updatebar ist. Michel weiß auch nicht was dieses Bitlockerding ist oder ob ers an oder aus hat. Und: Von all dem hier wird der auch nie was mitbekommen.
        Ne, eben nicht. Egal ob fertig-PC, oder Laptop. Die haben fast alle seit Jahren schon Herstellersoftware wie den Huawei Manager, Lenovo vantage usw. die nicht nur das Ladeverhalten des Akkus beeinflusst, sondern beim runterfahren selbstständig das BIOS aktualisiert.
        Ich gönne dir wirklich deine Meinung, aber abseits der "Nerds", bleibt diese Software standardmäßig drauf und dürfte die neusten Systeme schützen, ohne dass Michel und Michelle überhaupt davon wind bekommen.
        Du triffst, so meine ich, eine falsche, nicht mehr zeitgemäße Annahme.

        Es gibt fast gar kein Gerät mehr ohne solche Software zu kaufen.
        Zitieren
      Direkt zum Diskussionsende
Hoch
  • Print / Abo
    Apps
    PCGH Magazin 08/2026 PC Games 07/2026 play5 08/2026 N-Zone 07/2026 Linux Magazin 07/2026 LinuxUser 07/2026 Raspberry Pi Geek 07/2026
    PC Games Hardware PC Games Linux Magazin Raspberry Pi Geek Computec Kiosk
Die Redaktion Datenschutz Artikel-Archiv Datenschutz-Optionen Mediadaten Impressum Utiq verwalten Abo kündigen Vertrag widerrufen AGB Inhalt melden Newsletter