BitUnlocker łamie szyfrowanie Windows 11 w kilka minut – czy Twój komputer jest bezpieczny?

W skrócie

Nowe narzędzie dostępne publicznie na GitHubie o nazwie BitUnlocker pozwala ominąć szyfrowanie BitLocker w Windows 11 w ciągu kilku minut, wykorzystując podatność w starym certyfikacie Microsoftu. Atak wymaga jedynie fizycznego dostępu do komputera i zwykłego pendrive’a – bez specjalistycznego sprzętu ani zaawansowanej wiedzy technicznej. To poważny problem dla firm i użytkowników, którzy polegają wyłącznie na module TPM bez dodatkowego kodu PIN, bo ich dane mogą być odszyfrowane bez hasła i bez żadnych alarmów systemowych.

Czym jest BitUnlocker i dlaczego stanowi zagrożenie dla bezpieczeństwa Windows

Narzędzie BitUnlocker zostało opublikowane na platformie GitHub jako otwarty dowód koncepcji, który pokazuje, jak łatwo można złamać zabezpieczenia szyfrowania dysku w systemie Windows 11, jeśli komputer jest źle skonfigurowany. Nazwa sugeruje program do odzyskiwania danych, ale w rzeczywistości to exploit wykorzystujący lukę w sposobie, w jaki Secure Boot weryfikuje autentyczność menedżera rozruchu.

Co szczególnie niepokojące, atak nie wymaga żadnego kosztownego ani egzotycznego sprzętu. Wystarczy pendrive USB lub możliwość rozruchu przez sieć PXE oraz kilka minut sam na sam z urządzeniem. W środowiskach korporacyjnych, gdzie laptopy są pozostawiane na noc w biurach lub przewożone bez nadzoru, taki scenariusz jest całkowicie realistyczny.

Najgorszą wiadomością jest fakt, że nawet pełna aktualizacja systemu nie chroni przed tym atakiem, jeśli nie podjęto dodatkowych kroków zabezpieczających.

Luka CVE-2025-48804 – Microsoft załatał system, ale problem pozostał

Atak opiera się na luce oznaczonej numerem CVE-2025-48804, którą Microsoft oficjalnie załatał w lipcu 2025 roku w ramach comiesięcznego cyklu Patch Tuesday. Odkrycie podatności było dziełem wewnętrznego zespołu firmy o nazwie STORM (Security Testing & Offensive Research), co wyjaśnia, dlaczego poprawka trafiła stosunkowo szybko.

Problem polega jednak na tym, że sama instalacja aktualizacji nie wystarcza do pełnego wyeliminowania zagrożenia. Firma Intrinsec, specjalizująca się w cyberbezpieczeństwie, wyjaśnia mechanizm bardzo jasno: Secure Boot sprawdza autentyczność menedżera rozruchu na podstawie certyfikatu, którym został on podpisany, a nie na podstawie numeru wersji oprogramowania.

Stary certyfikat Microsoft Windows PCA 2011 nadal jest uznawany za wiarygodny na wielu komputerach. To oznacza, że nawet gdy system jest w pełni zaktualizowany, atakujący może załadować przestarzałą, podatną na exploit wersję menedżera rozruchu – i komputer zaakceptuje go jako legalny.

Po załadowaniu takiego menedżera atakujący montuje zmodyfikowany obraz systemu Windows, który podczas startu automatycznie otwiera okno wiersza poleceń. W tym momencie dysk zaszyfrowany BitLockerem jest już odszyfrowany i zamontowany – bez podawania hasła, bez żadnych pytań, bez ostrzeżeń systemowych.

Jakie komputery są najbardziej zagrożone?

Najbardziej narażone na ten typ ataku są systemy, w których BitLocker chroni dysk wyłącznie za pomocą modułu TPM (Trusted Platform Module), bez dodatkowego kodu PIN przy starcie. W takiej konfiguracji moduł TPM automatycznie uwalnia klucz szyfrujący podczas rozruchu komputera, zakładając, że wszystko przebiega prawidłowo.

Problem polega na tym, że TPM nie jest w stanie wykryć, że załadowany menedżer rozruchu jest nieprawdziwy – bo został podpisany legalnym certyfikatem Microsoftu z 2011 roku. Dla modułu TPM wygląda to na normalny, bezpieczny rozruch systemu.

Natomiast urządzenia korzystające z nowszego certyfikatu Windows UEFI CA 2023 są odporne na ten konkretny wektor ataku, ponieważ nie akceptują już starych menedżerów rozruchu. Podobnie bezpieczne są komputery, na których użytkownicy włączyli kod PIN przy starcie BitLockera – dodatkowe uwierzytelnianie blokuje dostęp, zanim exploit zdąży zadziałać.

Niestety, konfiguracja z kodem PIN nie jest powszechna w środowiskach korporacyjnych, ponieważ komplikuje proces uruchamiania i wymaga od pracowników zapamiętania kolejnego hasła. W efekcie większość firmowych laptopów z Windows 11 polega wyłącznie na TPM – i właśnie ta grupa jest najbardziej zagrożona.

Co trzeba zrobić, aby zabezpieczyć komputer?

Pierwszym krokiem jest instalacja aktualizacji Microsoftu oznaczonej numerem KB5025885, która zawiera narzędzia do zarządzania unieważnieniem certyfikatów w Secure Boot. Sama aktualizacja jednak nie wystarczy – konieczne jest sprawdzenie, który certyfikat menedżera rozruchu jest aktualnie aktywny na komputerze.

Jeśli system nadal używa starego certyfikatu z 2011 roku, należy priorytetowo zaktualizować go do nowszej wersji. Administratorzy IT powinni przeprowadzić audyt wszystkich komputerów w sieci korporacyjnej, aby upewnić się, że żadne urządzenie nie korzysta z przestarzałego certyfikatu.

Drugim, równie ważnym krokiem jest włączenie kodu PIN rozruchowego w BitLockerze. To dodatkowa warstwa ochrony, która w przypadku tego konkretnego ataku robi największą różnicę. Owszem, utrudnia to codzienne korzystanie z komputera – użytkownik musi wpisać PIN za każdym razem, gdy uruchamia maszynę – ale w środowiskach, gdzie laptopy są narażone na fizyczny dostęp osób trzecich, ten niewielki dyskomfort jest ceną za bezpieczeństwo.

Warto też rozważyć wyłączenie rozruchu z zewnętrznych nośników (pendrive, sieć PXE) w ustawieniach UEFI/BIOS, szczególnie na komputerach służbowych przechowujących wrażliwe dane firmowe.

Dlaczego badacze opublikowali exploit publicznie?

Decyzja o upublicznieniu BitUnlockera na GitHubie nie była przypadkowa ani nieodpowiedzialna. Badacze bezpieczeństwa stosują tę strategię, aby wywrzeć presję na użytkowników i administratorów IT, aby jak najszybciej zweryfikowali swoje konfiguracje i wdrożyli poprawki.

Dopóki narzędzie pozostaje wewnętrznym sekretem, większość organizacji traktuje aktualizacje bezpieczeństwa jako coś, co „można zrobić później”. Gdy jednak pojawia się publicznie dostępny exploit, który każdy może pobrać i użyć, presja staje się natychmiastowa i realna.

To działa jak budzik – firmy i użytkownicy wiedzą, że zagrożenie nie jest teoretyczne, ale konkretne. W ciągu kilku dni od publikacji narzędzia wiele działów IT zaczęło masowo wdrażać poprawki i zmieniać konfiguracje zabezpieczeń.

Podsumowanie

Narzędzie BitUnlocker pokazuje, jak cienka jest granica między teoretycznym zagrożeniem a realnym atakiem. Luka CVE-2025-48804 została załatana przez Microsoft prawie rok temu, ale ze względu na sposób, w jaki działa Secure Boot i certyfikaty, problem nie zniknął sam z siebie.

Dla firm i użytkowników indywidualnych oznacza to jedno: nie wystarczy instalować aktualizacji systemu. Konieczne jest aktywne zarządzanie konfiguracją zabezpieczeń, weryfikacja certyfikatów i włączenie dodatkowych warstw ochrony, takich jak kod PIN przy starcie BitLockera.

Jeśli Twój komputer przechowuje wrażliwe dane – czy to dokumenty firmowe, dane klientów, czy prywatne informacje – warto poświęcić 10 minut na sprawdzenie, czy używasz aktualnego certyfikatu i czy masz włączony PIN. To niewielki wysiłek w porównaniu z potencjalnymi konsekwencjami wycieku danych.