[English]Die von Microsoft für Windows verwendete Bitlocker-Verschlüsselung für Datenträger lässt sich über die Bitpixie-Schwachstelle (CVE-2023-21563) per Software aushebeln, wenn gewisse Randbedingungen gelten. Ein Sicherheitsforscher hatn gezeigt, wie sich der Master-Key, bei fehlender Pre-Boot-Authentifizierung unter Windows binnen Minuten, ohne Hardware-Hack, aus dem Arbeitsspeicher auslesen und zur Entschlüsselung nutzen lässt. Neu ist der Bitpixie-Angriff nicht, aber der gewählte Weg ist mit Windows-Komponenten möglich – und der Exploit als PoC öffentlich. Hier eine Übersicht.
Zum Mai 2025-Patchday sind Windows-Nutzer ja erneut in die Bitlocker Recovery Key-Abfrage gelaufen – ich hatte im Blog-Beitrag Microsoft bestätigt Bitlocker-Boot-Probleme nach Windows 10/11 Mai 2025-Update erstmals berichtet. Wobei das alles nicht neu ist, wie nachfolgende Ausführungen und die Links auf Artikel am Beitragsende zeigen. Zum obigem Artikel kam dann ein Leserkommentar, dass die Bitlocker-Verschlüsselung ausgehebelt worden sei. Weitere Kommentare wiesen darauf hin, dass das Problem länger bekannt sei. Hier ein kurzer Abriss, um was es geht.
38c3: Bitlocker Bitpixie-Schwachstelle (CVE-2023-21563)
Ich springe mal einige Monate zurück, ins Jahr 2024. Zum 28. Dezember 2024 gab es auf dem 38C3-Kongress des Chaos Computer Clubs den Vortrag Windows BitLocker: Screwed without a Screwdriver. Sicherheitsexperte Thomas Lambertz zeigte, wie sich Microsofts Bitlocker-Verschlüsselung über ein “Downgrade” einer gepatchten Schwachstelle aushebeln lässt. Das ist der Weg, über den Geheimdienste oder Strafverfolger mit Hilfe von Forensik-Unternehmen wie Cellebrite an verschlüsselte Daten herankommen.
Probleme mit Bitlocker, Screenshot bei 45:13 aus dem Vortrag auf dem 38C3, u.a. mit Referenz auf meinen Beitrag Windows 10/11 updates (e.g. KB5040442) trigger Bitlocker queries (July 2024)
Ich hatte im Blog-Beitrag 38C3: Bitlocker über Schwachstellen ausgehebelt (Dez. 2024) über diesen Sachverhalt berichtet. Beim Scrollen durch den Beitrag stieß ich dann auf obige Folie, auf der u.a. die englische Fassung eines meiner Blog-Beiträge zu Bitlocker-Problemen berichtet wird.
Proof of Concept zur BitPixie-Schwachstelle CVE-2023-21563
Mir ist das Thema, auf das Nutzer in den Kommentaren hier hingewiesen haben, die Tage auf X unter die Augen gekommen.
Sicherheitsforscher Marc Tanner hat im Blog-Beitrag Bypassing BitLocker Encryption: Bitpixie PoC and WinPE Edition beschrieben, wie er Bitlocker per Software aushebeln kann. Tanner wurde durch den oben erwähnten Vortrag von Thomas Lambertz bezüglich des Themas getriggert.
Thomas Lambertz hatte zwar das Prinzip des Bitpixie-Angriffs auf dem 38C3 vorgestellt und im Januar 2025 in diesem Blog-Beitrag beschrieben, aber seinen Exploit nicht veröffentlicht. Marc Tanner hat die Informationen von Lambertz genutzt, um einen Bitpixie Linux Edition-Exploit mit seinem Red Team zu entwickeln. Er schrieb dazu: “Um den Angriff vollständig zu verstehen, die ursprüngliche Forschung zu reproduzieren und die konkreten Auswirkungen für unsere Kunden zu demonstrieren, habe ich mich daran gemacht, einen öffentlichen Proof of Concept zu entwickeln.”
Tanner schreibt dazu, dass die Ausnutzung der missbrauchten Bitpixie-Schwachstelle nicht invasiv sei, und keine dauerhaften Gerätemodifikationen und kein komplettes Festplatten-Image erfordert. Dadurch sei eine schnelle (~5 Minuten) Kompromittierung und eine flexiblere Integration in bestimmte Social-Engineering-Szenarien möglich.
Im Grunde muss die zu knackende Maschine in WinRE gebootet und der Boot-Lader durch eine angreifbare Variante ersetzt werden. Thomas Lambertz hat dann ein Linux geladen, welches den Speicher auf Bitlocker Master-Key durchsucht.
Marc Tanner ist, soweit ich es verstanden habe, der Angriff unter WinPE gelungen, indem er die gleichen Mechanismen verwendet, aber signierte Microsoft Windows-Komponenten benutzt. Er hat auf GitHub seinen WinPmem-BitLocker mit einer Beschreibung veröffentlicht.
Theoretisch sollte der Exploit aus dem Proof of Concept (PoC) daher auf alle betroffenen Geräte anwendbar sein, solange sie dem Microsoft Windows Production PCA 2011-Zertifikat vertrauen, das zum Signieren des anfälligen Bootmanagers verwendet wird. Dieses Zertifikat wird aber durch Microsoft ausgetauscht, da es 2026 abläuft (siehe den Beitrag Frage: BlackLotus-Schwachstelle und ablaufendes UEFI-Zertifikat – was droht uns? und die Artikel zu BlackLotos in der Link-Liste weiter unten).
In der Praxis scheint das Exploit etwas weniger zuverlässig zu sein als sein Linux-basiertes Gegenstück, schreibt Tanner (Lenovo fährt auf seinen Systemen wohl seinen eigenen Stiefel). Nichtsdestotrotz hält Tanner die bereitgestellten Automatisierungsskripte für hoffentlich nützlich, um zu untersuchen, ob Geräte betroffen sind.
Was hilft gegen den Angriff?
Es wurde hier im Blog von Marc Heitbrink, aber auch von Marc Tanner in seinem Artikel angesprochen. Die Bitpixie-Schwachstelle – und ganz allgemein sowohl hardware- als auch softwarebasierte Angriffe – kann durch Erzwingen einer Pre-Boot-Authentifizierung entschärft werden. Das heißt, bereits beim Booten wird eine zusätzliche PIN- und/oder eine Schlüsseldatei zur Authentifizierung angefordert.
Fazit: Der jetzt bekannt gewordene Angriff ist nicht neues, sondern ein Proof of Concept, den Administratoren ggf. in eigenen Systemen testen können. Die Abhilfe gegen diese Angriffe wurde auch genannt. Details sind in den verlinkten Artikeln nachzulesen.
Ähnliche Artikel:
Windows 10/11 Updates (z.B. KB5040442) triggern Bitlocker-Abfragen (Juli 2024)
Windows 10: Mai 2025-Update KB5058379 sperrt Systeme, triggert Bitlocker Recovery und BSODs
Microsoft bestätigt Bitlocker-Boot-Probleme nach Windows 10/11 Mai 2025-Update
38C3: Bitlocker über Schwachstellen ausgehebelt (Dez. 2024)
Windows-Bitlocker-Abfrage-Bug durch August 2024-Updates korrigiert
KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)
Frage: BlackLotus-Schwachstelle und ablaufendes UEFI-Zertifikat – was droht uns?
Windows 10/11 KB5053484: Neues PS-Script für Zertifikate in Boot-Medien