Microsoft ha rilasciato l’8 luglio le patch che correggono altrettante vulnerabilità nel Windows Recovery Environment (WinRE). Permettono di aggirare la protezione di BitLocker. L’azienda di Redmond ha pubblicato un lungo post sul blog dedicato alla sicurezza per descrivere le quattro vulnerabilità, fornendo consigli per ridurre le probabilità di attacco.
Dettagli sulle vulnerabilità
BitLocker è la funzionalità di Windows che protegge i dati su disco (il volume in cui è presente il sistema operativo per impostazione predefinita) tramite crittografia. WinRE è invece l’ambiente di ripristino che permette di identificare i problemi e risolverli usando i tool disponibili (Windows 11 24H2 ha aggiunto anche la Quick Recovery Machine).
WinRE utilizza Recovery OS, una versione “light” di Windows compressa in un file WIM (WinRE.wim) salvato su disco. Quando viene avviato WinRE, il contenuto del file WIM (eseguibili, driver e DLL) viene caricato in memoria. In seguito all’introduzione di BitLocker (nel 2007 con Windows Vista), WinRE è stato aggiornato per supportare la funzionalità di sicurezza.
Microsoft ha innanzitutto spostato il file WinRE.wim dal volume del sistema operativo (volume OS) ad un volume non cifrato con BitLocker perché deve essere sempre accessibile se BitLocker non funziona. È stato inoltre introdotto il Trust WIM Boot che verifica l’integrità del file WIM, impedendo eventuali manomissioni del volume OS. Infine è stato aggiunto il re-lock del volume OS che blocca l’accesso se non viene inserita la chiave di ripristino di BitLocker.
Durante lo stato auto-unlock (quando viene superata la verifica Trust WIM Boot), WinRE accede ai file presenti nei volumi EFI e di ripristino non cifrati. Le vulnerabilità possono essere sfruttate durante le operazioni di parsing di tre file: Boot.sdi e ReAgent.xml presenti nel volume di ripristino e BCD presente nel volume EFI.
Il file Boot.sdi crea in memoria il boot WIM a partire dal file WIM su disco. La vulnerabilità CVE-2025-48804 permette di aggirare la verifica Trust WIM Boot, eseguire un file WIM modificato e accedere i dati.
Il file ReAgent.xml contiene lo stato attuale di ripristino e la configurazione di WinRE. Uno dei campi del file è relativo alle operazioni pianificate eseguite in automatico all’avvio di WinRE. Una di esse, ovvero la scansione offline delle app, può essere sfruttata per aggirare BitLocker e accedere ai dati. La vulnerabilità è indicata con CVE-2025-48800.
Un’altra operazione pianificata è l’esecuzione di app all’interno di WinRE. Una di esse consente di aggirare BitLocker e accedere ai dati. La vulnerabilità è indicata con CVE-2025-48003.
Il file BCD (Boot Configuration Data) contiene i parametri di boot, le impostazioni di ripristino e altri dati. Viene eseguito al boot di WinRE e consente di specificare la posizione del volume OS (cifrato) su disco. Un malintenzionato potrebbe ingannare WinRE per usare un file BCD presente nel volume di ripristino (non cifrato).
Sfruttando la funzionalità Online PBR (Push Button Reset) aggiunta come operazione pianificata nel file ReAgent.xml è possibile aggirare BitLocker e accedere ai dati. La vulnerabilità è indicata con CVE-2025-48818.
Oltre che installare le patch, gli utenti dovrebbero attivare l’autenticazione TPM+PIN e le mitigazioni descritte in questa guida.
