Sebuah tool baru bernama BitUnlocker mengungkap metode serangan downgrade yang cukup berbahaya terhadap fitur enkripsi BitLocker milik Microsoft. Serangan ini memungkinkan pelaku dengan akses fisik ke perangkat untuk membuka volume terenkripsi di Windows 11 hanya dalam waktu kurang dari 5 menit, bahkan pada sistem yang sudah menerima patch keamanan terbaru.
Baca Juga : Microsoft Umumkan Risiko BitLocker Recovery Setelah Update Windows Terbaru
Temuan ini memanfaatkan celah antara proses patching dan pencabutan sertifikat lama yang masih dipercaya oleh sistem Secure Boot Windows.
Kerentanan tersebut berasal dari CVE-2025-48804, salah satu dari empat zero-day kritis yang ditemukan oleh tim Security Testing & Offensive Research (STORM) milik Microsoft dan diperbaiki pada Patch Tuesday Juli 2025.
Menurut riset dari Intrinsec, celah keamanan ini berada pada komponen Windows Recovery Environment (WinRE) dan melibatkan mekanisme file System Deployment Image (SDI).
Bagaimana Serangan BitUnlocker Bekerja?
Secara sederhana, serangan ini memanfaatkan cara kerja boot manager Windows saat memuat file WIM (Windows Imaging Format) yang digunakan dalam proses recovery.
Ketika boot manager memverifikasi file WIM resmi yang terhubung ke SDI untuk memastikan integritas sistem, penyerang ternyata bisa menyisipkan file WIM kedua yang telah dimodifikasi ke dalam tabel blob SDI tersebut.
Masalahnya, boot manager memang memverifikasi file WIM pertama yang sah, tetapi sistem justru melakukan boot menggunakan file WIM kedua yang dikendalikan penyerang.
File WinRE yang sudah dimodifikasi itu nantinya akan menjalankan cmd.exe dengan kondisi volume BitLocker sudah terbuka dan berhasil di-mount secara otomatis.
Microsoft sebenarnya sudah merilis file bootmgfw.efi versi patch melalui Windows Update pada Juli 2025 untuk seluruh sistem yang masih didukung. Namun, patch tersebut ternyata belum sepenuhnya menutup jalur serangan ini.
Sertifikat Lama Jadi Celah Utama
Kelemahan utama yang membuat serangan BitUnlocker tetap bisa berjalan bukan karena patch yang hilang, melainkan karena sertifikat lama yang masih dipercaya oleh Secure Boot.
Perlu diketahui, Secure Boot hanya memvalidasi sertifikat penandatanganan sebuah binary, bukan memeriksa versi filenya.
Dalam kasus ini, sertifikat lama bernama Microsoft Windows PCA 2011 yang digunakan untuk menandatangani boot manager sebelum patch Juli 2025 masih dianggap valid oleh sebagian besar perangkat Windows saat ini.
Artinya, file bootmgfw.efi versi lama yang rentan tetap bisa dijalankan karena masih memiliki tanda tangan digital resmi menggunakan PCA 2011.
Microsoft menghadapi tantangan besar untuk mencabut sertifikat ini secara massal karena dampaknya bisa memengaruhi banyak binary sah lain di seluruh ekosistem Windows.
Serangan Bisa Dilakukan Tanpa Hardware Khusus
Melanjutkan riset sebelumnya terkait exploit downgrade “bitpixie”, para peneliti akhirnya berhasil membuat proof-of-concept (PoC) yang dapat menjalankan serangan dalam waktu kurang dari lima menit.
Menurut Intrinsec, pelaku hanya membutuhkan beberapa hal berikut:
- Akses fisik ke perangkat target
- USB drive atau PXE boot server
- Tidak memerlukan hardware khusus
Proses serangan dimulai dengan menyiapkan file BCD (Boot Configuration Data) yang telah dimodifikasi dan diarahkan ke SDI berbahaya.
Selanjutnya, penyerang menjalankan boot manager lawas yang masih rentan dan ditandatangani menggunakan sertifikat PCA 2011 melalui USB atau PXE boot.
Karena sertifikat tersebut masih dipercaya oleh Secure Boot, sistem akan memuat boot manager tanpa menampilkan peringatan apa pun.
Di tahap berikutnya, TPM secara otomatis melepaskan BitLocker Volume Master Key (VMK) karena pengukuran PCR 7 dan PCR 11 masih dianggap valid oleh sistem.
Hasil akhirnya cukup mengkhawatirkan, yakni command prompt terbuka dengan volume sistem operasi yang sudah berhasil didekripsi sepenuhnya.
Sistem Apa Saja yang Rentan?
Perangkat yang menggunakan konfigurasi TPM-only BitLocker tanpa PIN tambahan menjadi target paling rentan terhadap serangan ini, khususnya jika Secure Boot masih mempercayai sertifikat PCA 2011.
Sebaliknya, sistem yang menggunakan konfigurasi TPM + PIN dinilai aman karena TPM tidak akan membuka VMK tanpa autentikasi pengguna saat proses pre-boot.
Selain itu, perangkat yang sudah menyelesaikan migrasi KB5025885 dan berpindah ke sertifikat Windows UEFI CA 2023 juga terlindungi dari jalur downgrade ini.
Langkah Mitigasi yang Disarankan
Untuk mengurangi risiko serangan BitUnlocker, tim keamanan dan administrator sistem disarankan segera melakukan beberapa langkah berikut:
1. Aktifkan TPM + PIN
Ini menjadi perlindungan paling efektif karena TPM tidak akan otomatis melepaskan VMK ketika terjadi manipulasi proses boot.
2. Install Update KB5025885
Update ini memindahkan tanda tangan boot manager ke sertifikat CA 2023 sekaligus menghadirkan kontrol pencabutan sertifikat lama.
3. Verifikasi Sertifikat Boot Manager
Administrator bisa memeriksa partisi EFI menggunakan tool seperti sigcheck untuk memastikan file bootmgfw.efi sudah ditandatangani menggunakan CA 2023, bukan PCA 2011.
4. Hapus Partisi WinRE pada Sistem Sensitif
Untuk lingkungan dengan keamanan tinggi, menghapus partisi recovery WinRE dapat membantu meminimalkan permukaan serangan.
Baca Juga : Microsoft Hadirkan BitLocker dengan Akselerasi Hardware, Windows Jadi Lebih Aman
Saat ini, PoC BitUnlocker sudah tersedia secara publik di GitHub. Karena itu, perusahaan dan pengguna enterprise disarankan segera mengaudit konfigurasi BitLocker mereka serta mempercepat migrasi ke sertifikat CA 2023 sebelum teknik ini dimanfaatkan dalam serangan nyata.
