Sembra paradossale, ma una delle funzioni più utili di Windows può trasformarsi in un porta d’ingresso per chi vuole violare la nostra sicurezza. Durante il Black Hat USA 2025 e il DEF CON 33, il team STORM di Microsoft ha svelato una serie di vulnerabilità nel Windows Recovery Environment. Le falle in WinRE permettono di aggirare BitLocker, il sistema di crittografia integrato su Windows.
Microsoft svela una vulnerabilità critica nel Recovery Environment che può aggirare BitLocker
WinRE è quella modalità che si attiva tenendo premuto Shift e cliccando su “Riavvia” dalla schermata di accesso. Serve per ripristinare il sistema in caso di problemi. Ora si scopre però che può essere sfruttata anche per accedere ai dati crittografati, se non adeguatamente protetta.
BitLocker è uno dei pilastri della sicurezza di Windows. Protegge i dati inattivi con la crittografia completa del volume. In questo modo blocca l’accesso non autorizzato anche in caso di furto fisico del dispositivo.
Per garantire che il ripristino fosse possibile anche con BitLocker attivo, Microsoft ha spostato il file WinRE.wim su una partizione non crittografata e ha introdotto meccanismi come Trusted WIM Boot e il blocco del volume tramite chiave di ripristino. Ma proprio queste modifiche hanno aperto nuove superfici di attacco.
Le falle che mettono a rischio i dati
Una volta superata la verifica di Trusted WIM Boot, WinRE entra in uno stato di sblocco automatico e può accedere a file da partizioni non protette, come quella EFI o il volume di ripristino. È qui che il team STORM ha individuato diverse vulnerabilità. Sono state identificate con gli ID CVE-2025-48800, CVE-2025-48003, CVE-2025-48804 e CVE-2025-48818. A causa di queste falle, un hacker potrebbe bypassare tranquillamente BitLocker e accedere ai dati protetti.
Le contromisure consigliate da Microsoft
Per ridurre il rischio, Microsoft consiglia di abilitare il TPM con PIN per l’autenticazione pre-avvio, limitando così l’accesso al solo chip TPM. Inoltre, è fondamentale attivare la mitigazione REVISE (KB5025885), pensata per contrastare attacchi di downgrade.
Le patch correttive sono già disponibili con il Patch Tuesday di luglio 2025 e sono incluse anche negli aggiornamenti cumulativi di agosto per Windows 10 e 11. È il momento di aggiornare, la sicurezza dei dati potrebbe dipendere da questo.
