Ani záplata nestačí? BitUnlocker může ohrožovat Windows 11
Nástroj BitLocker, který v systému Windows 11 slouží pro šifrování pevných disků, lze zneužitím jedné z útočných metod během několika minut prolomit. Tento vektor útoku se stal známým pod vtipným názvem: „BitUnlocker“.
Bezpečnostní chybu, která byla katalogizována pod označením CVE-2025-48804, objevil interní výzkumný tým Security Testing & Offensive Research (STORM), který je součástí Microsoftu. Vývojáři také hned v červenci 2025 uvolnili odpovídající záplatu.
Mohlo by vás zajímat
Programátor si řekl dost a sám vyvinul nový nástroj. Tak dobrý čistič Windows tu ještě nebyl
Tipy a triky
Podle informací francouzské bezpečnostní firmy Intrinsec je údajně útok stále možný, a to i po instalaci odpovídající záplaty. Bezpečnostní experti vidí problém někde jinde.
„Secure Boot ověřuje pouze podpisový certifikát binárního souboru, nikoli jeho verzi. Zranitelný soubor bootmgfw.efi z období před červencem 2025, který je podepsán certifikátem PCA 2011, je z pohledu Secure Boot zcela platný – stejně jako opravená verze,“ uvedla společnost Intrinsec, která se zabývá kyberbezpečností.
Stačí fyzický přístup a USB
Útočníci vlastně zneužívají mezeru, vzniklou mezi instalací opravy a zrušením zastaralých certifikátů. Mohou tak spustit starší boot manager a načíst upravený obraz systému Windows. Ten otevře příkazový řádek, zatímco disk zašifrovaný pomocí nástroje BitLocker už byl dešifrován – jeho obsah je tedy přístupný.
Podle bezpečnostních expertů k tomu není potřeba žádný speciální hardware, údajně stačí pouhý USB flash disk. Zvlášť ohroženy jsou počítače, které jsou zabezpečeny pouze modulem TPM a nemají nastavený žádný PIN kód.
Mohlo by vás zajímat
A nyní už konečně výše slibovaná dobrá zpráva: K úspěšné realizaci útoku je nutný fyzický přístup k počítači. Jinak jej nelze provést. Nemusíte se tedy obávat, že by vaše šifrování obešli nějací uživatelé s nekalými úmysly, a to prostřednictvím internetu.
Pokud se navíc k odemknutí přístupu používá PIN, útočník rovněž narazí. Před spuštěním je nutná autentizace.
Microsoft doporučuje vypnout zastaralý certifikát
Microsoft v té souvislosti kromě nastavení přístupového kódu PIN doporučuje také přepnout boot manager na certifikát CA 2023 a zastaralou verzi s označením PCA 2011 raději zrušit. Postup, jak na to, je popsaný na stránce podpory Microsoftu (odkaz uvádíme níže u zdrojů).
Tento krok také umožňuje sledování nových verzí boot manageru, a to prostřednictvím identifikátoru SVN (Secure Version Number). Bezpečnostní experti z Intrinsecu k tomu ale dodávají, že pro běžné uživatele je přechod náročný, a proto jej Microsoft nezavádí plošně.
Zdroj: Microsoft Support, Intrinsec
13 foto
