La recherche originale de Microsoft STORM
En juillet 2025, l’équipe Microsoft STORM a publié un article détaillé décrivant une chaîne d’attaque complète contre BitLocker, en ciblant WinRE en particulier. Le principe : le boot manager charge le fichier SDI (System Deployment Image) et le WIM référencé par celui-ci, vérifie l’intégrité du WIM légitime, mais lorsqu’un second WIM est ajouté au SDI avec une blob table modifiée, le boot manager vérifie le premier WIM (légitime) tout en bootant depuis le second (contrôlé par l’attaquant). Celui-ci contient une image WinRE piégée avec `cmd.exe`, qui s’exécute avec le volume BitLocker déchiffré.
Pourquoi le correctif ne suffit pas ?
Le correctif est bien réel, et les machines à jour ont effectivement reçu un boot manager patché via Windows Update en juillet 2025, qu’il soit signé PCA 2011 ou CA 2023. Le problème est ailleurs : Secure Boot ne vérifie que le certificat de signature d’un binaire, pas sa version. Un `bootmgfw.efi` vulnérable d’avant juillet 2025, signé avec le certificat PCA 2011, est parfaitement valide du point de vue de Secure Boot, tout autant que la version corrigée.
Or, l’ancien certificat PCA 2011 n’a pas été révoqué massivement, car il s’agit d’un véritable challenge opérationnel pour Microsoft. Il est toujours présent dans la base de données Secure Boot de la quasi-totalité des machines en circulation (hors nouvelles installations Windows). Et tant qu’il n’est pas révoqué, même un vieux boot manager vulnérable peut être chargé sans déclencher d’alerte.
L’attaque en pratique
Directement inspirés par les travaux de Microsoft STORM et par notre expérience précédente avec bitpixie, nous avons développé un PoC qui exploite cette vulnérabilité, y compris sur les systèmes à jour (mais n’ayant donc pas déployé les autres mitigations).
Le principe est le suivant :
- L’attaquant dispose d’un accès physique au poste cible
- Il prépare un fichier BCD modifié qui redirige l’entrée WinRE vers un fichier SDI piégé
- Via USB ou PXE (par exemple), il sert un ancien boot manager vulnérable et signé en PCA 2011, le BCD modifié et le SDI contenant l’image WinRE piégée
- Le poste cible démarre, charge le vieux boot manager, qui charge à son tour le WinRE piégé sans détecter la manipulation
- Le TPM libère la clé BitLocker normalement — les mesures PCR 7 et 11 restent valides car le PCA 2011 est reconnu par Secure Boot
- Un terminal s’ouvre avec le volume OS déchiffré et monté
L’ensemble de l’opération prend quelques minutes, sans nécessiter de matériel complexe.
Comment s’en prémunir ?
Comme nous l’évoquions dans notre article précédent sur bitpixie, la recommandation principale reste la même que pour la plupart des attaques sur BitLocker : activer un PIN au démarrage. C’est la seule mesure qui protège contre ces attaques de façon fiable.
Au-delà du PIN, Microsoft recommande de migrer le boot manager vers le certificat CA 2023 et de révoquer l’ancien certificat PCA 2011 via la procédure décrite dans la KB5025885, qui permet également un nouveau suivi de version des boot managers via SVN (Secure Version Number). Cette migration est toutefois lourde pour les utilisateurs, ce qui explique qu’elle soit encore loin d’être généralisée.
Vous souhaitez sécuriser vos postes contre BitUnlocker et autres attaques physiques ?
Les mesures individuelles (PIN BitLocker, mise à niveau des certificats Secure Boot, etc.) ne suffisent pas toujours à sécuriser un parc important.
Intrinsec, pure-player cyber depuis 30ans et qualifié PASSI Elevé par l’ANSSI vous propose plusieurs services concrets pour vous accompagner :
– Audit de cybersécurité : Evaluation de la sécurité des postes de travail, configuration Bitlocker et TPM, durcissement des postes Windows. En savoir plus
– Tests d’intrusion (Pentest) : simulation d’attaques physiques (TPM‑sniffing, BitUnlocker, etc.) sur vos postes et serveurs. En savoir plus
– Accompagnement à la mise en conformité : alignement des politiques BitLocker, UEFI, patches et gestion des certificats avec les recommandations Microsoft (KB5025885, CA 2023, etc.). En savoir plus
– SOC / CERT Intrinsec : détection des tentatives d’attaque et réponse en cas d’incident lié à un contournement de chiffrement. En savoir plus
