BitUnlocker डाउनग्रेड अटैक 5 मिनट में Windows 11 BitLocker के TPM संस्करण को क्रैक कर देता है

सुरक्षा कंपनी इंट्रिंसेक के शोधकर्ताओं ने हाल ही में "बिटअनलॉकर" नामक एक टूल का अनावरण किया है जो केवल टीपीएम (विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल) सुरक्षा मोड का उपयोग करके 5 मिनट से भी कम समय में विंडोज 11 के बिटलॉकर डिस्क एन्क्रिप्शन को बायपास कर सकता है। उपकरण एक तथाकथित "डाउनग्रेड अटैक" का फायदा उठाता है जो सॉफ्टवेयर को पैच करने और पुराने प्रमाणपत्रों को निरस्त करने के बीच के समय अंतराल का फायदा उठाता है। पुराने लेकिन अभी भी विश्वसनीय घटकों को लोड करके, यह अंततः एक बिटलॉकर-संरक्षित डिस्क खोलता है।

यह हमला CVE-2025-48804 नंबर वाली सुरक्षा भेद्यता से संबंधित है, जो विंडोज रिकवरी एनवायरनमेंट (विंडोज रिकवरी एनवायरनमेंट) और सिस्टम डिप्लॉयमेंट इमेज (सिस्टम डिप्लॉयमेंट इमेज) के प्रसंस्करण तंत्र में स्थित है। इसे ठीक करने के लिए माइक्रोसॉफ्ट ने जुलाई 2025 में एक पैच जारी किया है। हालाँकि, शोधकर्ताओं ने बताया कि भले ही भेद्यता को ठीक कर दिया गया हो, जब तक पुराने प्रमाणपत्र पर सिस्टम द्वारा अभी भी भरोसा किया जाता है, तब भी इसे डाउनग्रेड पथ के माध्यम से बायपास किया जा सकता है।

हमले की स्थितियों को देखते हुए, BitUnlocker एक दूरस्थ हमला उपकरण नहीं है। हमलावर को पहले लक्ष्य डिवाइस तक भौतिक पहुंच प्राप्त करनी होगी। उदाहरण के लिए, एक हमलावर विंडोज बूट मैनेजर को पूरी तरह से स्वरूपित और हस्ताक्षरित विंडोज इमेज (डब्ल्यूआईएम) फ़ाइल प्रदान करने के लिए पूर्व-तैयार यूएसबी फ्लैश ड्राइव का उपयोग कर सकता है जो दुर्भावनापूर्ण पेलोड सहित बूट चरण के दौरान अखंडता जांच पास करता है। सिस्टम "स्वच्छ" छवि फ़ाइल को सत्यापित करने के बाद, इसमें बिना शर्त दुर्भावनापूर्ण कोड लॉन्च करना जारी रखता है, जिससे डिक्रिप्टेड वॉल्यूम तक पहुंच प्राप्त होती है।

असली कुंजी यह है कि यह प्रमाणपत्र श्रृंखला में "फ़ॉलबैक" स्थान का लाभ उठाता है। वर्तमान में, माइक्रोसॉफ्ट का प्रारंभिक विंडोज पीसीए 2011 रूट प्रमाणपत्र अभी भी विश्व स्तर पर सिक्योर बूट द्वारा विश्वसनीय है, जो हमलावरों को डाउनग्रेड स्पेस प्रदान करता है: वे बूट मैनेजर बाइनरी के पुराने संस्करण को लोड कर सकते हैं जिसमें ज्ञात कमजोरियां हैं, और फ़ाइल का पुराना संस्करण अभी भी सिक्योर बूट के हस्ताक्षर सत्यापन को पास कर सकता है और सिस्टम द्वारा एक वैध घटक के रूप में निष्पादित किया जा सकता है।

यह हमला नियमित पीसी उपयोगकर्ताओं और उत्साही लोगों के लिए एक कड़ी चेतावनी है जो बिटलॉकर का उपयोग करने के लिए पूरी तरह से डिफ़ॉल्ट टीपीएम कॉन्फ़िगरेशन पर भरोसा करते हैं। जब डाउनग्रेडेड लीगेसी बूट मैनेजर चल रहा होता है, तब भी टीपीएम मौजूदा प्रक्रिया के अनुसार बूट मापों की पुष्टि करता है और उनकी तुलना अभी भी विश्वसनीय पीसीए 2011 प्रमाणपत्र से करता है। चूंकि सिस्टम वातावरण अपने दृष्टिकोण से "सामान्य दिखता है", टीपीएम बिना किसी असामान्यता के बिटलॉकर वॉल्यूम मास्टर कुंजी को अनब्लॉक कर देगा, और पूरी प्रक्रिया किसी भी अलार्म तंत्र को ट्रिगर नहीं करेगी।

वर्तमान में, इस हमले की श्रृंखला के लिए सबसे बड़ा "बफ़र" अभी भी डिवाइस के साथ भौतिक संपर्क की शर्त है। टीपीएम और प्री-बूट पिन कॉन्फ़िगरेशन चालू करने वाले सिस्टम के लिए, बिटअनलॉकर जैसे हमलों की गुंजाइश खत्म हो जाएगी: टीपीएम को कुंजी जारी करने से पहले अतिरिक्त मैन्युअल इनपुट चरणों की आवश्यकता होती है। जब तक पिन लीक नहीं होता, तब तक किसी भौतिक हमलावर के लिए संपूर्ण डाउनग्रेड प्रक्रिया को पूरा करना और डिक्रिप्शन कुंजी प्राप्त करना मुश्किल होता है।

इसके अलावा, जिन डिवाइसों ने KB5025885 अपडेट पूरा कर लिया है और सिक्योर बूट ट्रस्ट श्रृंखला को नए विंडोज यूईएफआई सीए 2023 डिजिटल प्रमाणपत्र में स्थानांतरित कर दिया है, वे मूल रूप से इस डाउनग्रेड पथ को अवरुद्ध कर सकते हैं। इस कॉन्फ़िगरेशन में, पीसीए 2011 पर निर्भर लीगेसी स्टार्टअप घटकों पर अब भरोसा नहीं किया जाता है और उन्हें प्रवेश बिंदु के रूप में उपयोग नहीं किया जा सकता है। शोधकर्ताओं ने इस बात पर जोर दिया कि उपयोगकर्ताओं और उद्यमों को जल्द से जल्द जांच करनी चाहिए कि क्या उनके सिस्टम ने प्रासंगिक अपडेट पूरे कर लिए हैं और, यदि शर्तें अनुमति देती हैं, तो भौतिक हमलों के जोखिम को कम करने के लिए प्री-बूट पिन जैसे अतिरिक्त सुरक्षा उपायों को सक्षम करें।

और अधिक जानें:

https://github.com/garatc/BitUnlocker