Los investigadores han revelado una serie de vulnerabilidades críticas de día cero que evitan completamente el cifrado de BitLocker de Windows, permitiendo a los atacantes con acceso físico para extraer todos los datos protegidos de dispositivos encriptados en cuestión de minutos.
La investigación, realizada por Alon Leviev y Netanel Ben Simon, de las pruebas de seguridad e investigación ofensiva de Microsoft en el equipo de Microsoft (Storm), expone fallas fundamentales en el entorno de recuperación de Windows (Winre) que socavan la promesa de seguridad central de BitLocker.
Cuatro vectores de ataque crítico descubrieron
Los investigadores identificaron cuatro vulnerabilidades de día cero distintas designadas como CVE-2025-48800, CVE-2025-48003, CVE-2025-48804 y CVE-2025-48818, cada uno explotando diferentes componentes del sistema de recuperación de Windows.
Boot.sdi Vulnerabilidad de análisis (CVE-2025-48800): este ataque manipula la compensación WIM del archivo Boot.sdi para evitar la validación de WIM confiable. Los atacantes pueden sustituir las imágenes de recuperación legítimas con versiones maliciosas, permitiendo la ejecución del código no confiable mientras mantienen la apariencia de integridad del sistema.
Reactivo.xml Explotación (CVE-2025-48003): la vulnerabilidad abusa de la función de escaneo fuera de línea de Winre, que está diseñada para operaciones antivirus. Los investigadores demostraron usar TTTracer.exe, una utilidad legítima de depuración de viajes en el tiempo, para generar sesiones de solicitantes del sistema con acceso total a volúmenes cifrados.
Manipulación de aplicaciones de confianza (CVE-2025-48804): esta explotación se dirige a setupplatform.exe, una aplicación legítimamente confiable que permanece registrada después de las actualizaciones de Windows. El ataque crea una ventana de tiempo infinita manipulando archivos de configuración, lo que permite a los atacantes registrar accesos directos de teclado que inician los avisos del sistema privilegiados.
Ataque de configuración BCD (CVE-2025-48818): la funcionalidad más sofisticada de vulnerabilidades de vulnerabilidad Push Botton RESET (PBR) mediante la manipulación de los datos de configuración de arranque para redirigir las operaciones de Winre. Los atacantes pueden obligar al sistema a descifrar los volúmenes de bitlocker creando archivos de restos de restos maliciosos.xml en la partición de recuperación sin protección.
Estas vulnerabilidades son particularmente peligrosas porque operan dentro del estado de “injerto automático” de Winre, donde el volumen principal del sistema operativo sigue siendo accesible para las operaciones de recuperación. A diferencia de los intentos tradicionales de bypass de bitlocker que desencadenan la reducción de volumen, estos exploits mantienen el acceso completo al sistema durante todo el proceso de ataque.
Según el Blackhat2025 presentaciónLos ataques solo requieren acceso físico básico y pueden ser ejecutados por cualquier persona que pueda arrancar en Winre usando combinaciones de clave simples como Shift+F10. Los investigadores demostraron capacidades completas de extracción de datos, incluido el acceso a archivos confidenciales, credenciales y configuraciones del sistema almacenadas en unidades protegidas por bitLocker.
Las vulnerabilidades afectan a una gama integral de sistemas de Windows, incluidas las ediciones de Windows 10, Windows 11 y Windows Server, lo que puede afectar a millones de dispositivos empresariales y de consumo en todo el mundo. Microsoft ha clasificadolos como vulnerabilidades de gravedad “importantes” con puntajes CVSS que van desde 6.8 a 7.2, aunque los expertos en seguridad argumentan que el impacto del mundo real podría ser significativamente mayor.
Las organizaciones que dependen de BitLocker para la protección de datos en los escenarios de robo enfrentan un riesgo inmediato, particularmente para dispositivos y sistemas de fuerza laboral móviles en entornos no garantizados.
Microsoft abordó estas vulnerabilidades en las actualizaciones del martes de parche de julio de 2025, lanzando parches de seguridad específicos para todas las versiones de Windows afectadas. La compañía recomienda encarecidamente que las organizaciones implementen las siguientes contramedidas de inmediato:
Habilite la autenticación TPM+PIN para la verificación previa al botín, lo que evita estos ataques al requerir la autenticación del usuario antes de que Winre pueda acceder a volúmenes cifrados. Implemente la mitigación de revisión de la protección contra la rolda para evitar ataques de rebajas. Aplique todas las actualizaciones de seguridad de julio de 2025 a través de mecanismos estándar de actualización de Windows.
Este descubrimiento representa uno de los desafíos más significativos para la estrategia de cifrado de Microsoft en los últimos años, lo que demuestra cómo los mecanismos de recuperación de confianza pueden convertirse en vectores de ataque cuando no se aseguran adecuadamente.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
