Se ha emitido un boletín de seguridad de máxima prioridad para la protección de endpoints tras la divulgación de “BitUnlocker”, un conjunto de vulnerabilidades críticas (incluyendo CVE-2025-48804 y CVE-2025-48818) detalladas por el equipo de investigación ofensiva de Microsoft (STORM). Estos defectos estructurales permiten a un atacante con acceso físico al dispositivo eludir por completo la protección de cifrado de volumen de BitLocker en Windows 11. El vector principal abusa de vulnerabilidades en el Entorno de Recuperación de Windows (WinRE) y utiliza técnicas de degradación (downgrade attacks) para forzar al sistema a confiar en componentes de arranque comprometidos o desactualizados.
Anatomía del Ataque (Explotación de WinRE)
El ataque no busca romper el algoritmo de cifrado AES de BitLocker matemáticamente, sino que ataca la cadena de confianza en la fase de pre-arranque:
- Evasión de Integridad en SDI (CVE-2025-48804): Los investigadores descubrieron un fallo crítico en cómo WinRE procesa los archivos de Imagen de Despliegue del Sistema (SDI). Un atacante puede adjuntar una imagen de Windows maliciosa a un archivo Boot.sdi legítimo manipulando los punteros de desplazamiento (offset pointers). El sistema comete el error de verificar el hash del archivo original, pero termina ejecutando el código inyectado.
- Arranque Heredado: Al lograr ejecutar este entorno de recuperación no confiable, la carga útil maliciosa “hereda” la autorización para interactuar con la unidad, permitiendo el desbloqueo del volumen cifrado.
- Manipulación de BCD y Degradación: La cadena completa de exploit (CVE-2025-48818) implica alterar los Datos de Configuración de Arranque (BCD) y el archivo ReAgent.xml. Para lograr el éxito, los atacantes utilizan ataques de degradación (downgrade) para reemplazar los administradores de arranque modernos por versiones firmadas más antiguas y vulnerables, revirtiendo las protecciones del Secure Boot.
Impacto (Riesgo en Pérdida de Dispositivos)
- Acceso Total a Datos en Reposo: Si una computadora portátil corporativa es robada o confiscada, un atacante con conocimientos técnicos puede extraer toda la información del disco (bases de datos locales, códigos fuente, credenciales cacheadas de dominio) sin conocer el PIN o la clave de recuperación de 48 dígitos.
- Falsa Sensación de Seguridad: Las organizaciones que confían exclusivamente en la protección pasiva de BitLocker (donde el equipo arranca directamente hasta la pantalla de inicio de sesión de Windows sin pedir un PIN previo) son altamente susceptibles a esta técnica.
Recomendaciones y Mitigación
Para blindar los endpoints corporativos contra la familia de ataques BitUnlocker, los equipos de arquitectura de seguridad deben aplicar los siguientes controles:
- Forzar Autenticación Pre-Arranque (TPM + PIN): Modificar de inmediato las políticas de grupo (GPO / Intune) de BitLocker para abandonar el modo transparente (solo TPM) y exigir la configuración TPM + PIN. Esto rompe la cadena del exploit al forzar al atacante a interactuar directamente con el hardware del chip TPM, neutralizando el acceso automatizado de WinRE.
- Implementar la Mitigación REVISE: Para frenar las tácticas de downgrade, los administradores deben habilitar el mecanismo REVISE de Microsoft. Esta función aplica un control de versiones estricto (secure versioning) en todos los componentes de arranque, prohibiendo a nivel de firmware/software que el sistema ejecute binarios de arranque antiguos, incluso si cuentan con firmas digitales válidas de Microsoft.
- Actualizar el Entorno WinRE: A diferencia de las actualizaciones normales de Windows que parchean el SO en ejecución, los administradores deben asegurarse de que la partición de recuperación (WinRE) también reciba los parches correspondientes (a partir del ciclo de actualizaciones que mitigó estos CVEs) mediante el despliegue de paquetes de actualización dinámica de sistema operativo seguro (Safe OS Dynamic Updates).
