BitLocker sconfitto di nuovo, avviando il sistema tramite la rete via PXE

Un exploit denominato Bitpixie, scoperto nel 2022 e identificato come CVE-2023-21563, permette di violare BitLocker utilizzando il boot tramite rete PXE. Dimostrata oggi una nuova modalità di attacco che fa leva unicamente su interventi software.
Michele Nasi
Pubblicato il 20 gen 2025
BitLocker sconfitto di nuovo, avviando il sistema tramite la rete via PXE

Non è passato neppure un mese da quando via abbiamo parlato di una nuova aggressione software perpetrata nei confronti di BitLocker, la soluzione Microsoft che permette di proteggere il contenuto di qualunque unità di memorizzazione, comprese quelle di sistema. In precedenza vi abbiamo parlato di una sorta di attacco cold boot che permette a un aggressore di recuperare la chiave di cifratura BitLocker riavviando brutalmente la macchina Windows. Questa volta, nel corso di una dimostrazione tenuta sotto l’ala del Chaos Computer Club, ci si è spinti ancora più avanti. BitLocker è di nuovo violato, senza usare un attacco cold boot, ricorrendo invece a un’aggressione che sfrutta il boot tramite la rete locale via PXE (Preboot Execution Environment).

Come funziona l’attacco software a BitLocker e cos’è la vulnerabilità Bitpixie

Ad agosto 2022 un ricercatore ha scoperto una vulnerabilità in BitLocker chiamata Bitpixie. Identificata come CVE-2023-21563, Bitpixie sfrutta un errore nel flusso di fallback del bootloader di Windows. Quando il sistema avvia un ripristino tramite rete (PXE Soft Reboot), le chiavi crittografiche necessarie per accedere ai dati rimangono in memoria invece di essere eliminate. Questo difetto permette agli aggressori di accedere alla Volume Master Key (VMK), ovvero alla chiave di cifratura di BitLocker e, di conseguenza, decodificare il contenuto del supporto di memorizzazione.

La procedura di exploit

Per la prima volta, la procedura di attacco è stata pubblicamente dimostrata. Come spiegato in questo report tecnico, al quale vi invitiamo a fare riferimento, l’aggressore ha necessità dell’accesso fisico al dispositivo protetto, la possibilità di usare una connessione di rete tramite LAN o adattatore USB nonché di avviare il sistema via PXE.

I passaggi principali per eseguire l’exploit sono i seguenti:

  • Downgrade del bootloader: utilizzo di una versione vulnerabile del boot manager di Windows antecedente a novembre 2022.
  • Modifica del file BCD (Boot Configuration Data): creazione di un percorso di ripristino personalizzato che punti a un bootloader vulnerabile.
  • Avvio del sistema usando un kernel Linux con supporto Secure Boot: utilizzo di un kernel con vulnerabilità note per leggere la memoria fisica.
  • Estrazione della chiave crittografica VMK: ricerca della chiave nel dump della memoria usando pattern specifici.
  • Decodifica del disco: utilizzo di strumenti come dislocker o cryptsetup per accedere ai dati.

Dispositivi e configurazioni vulnerabili

I ricercatori spiegano che la vulnerabilità colpisce principalmente i dispositivi con Secure Boot abilitato e BitLocker configurato per lo sblocco automatico. Ancora una volta, invece, non risultano aggredibili i sistemi Windows che si servono di BitLocker con chip TPM e richiesta di PIN all’avvio.

Per proteggersi da questo tipo di attacco, è consigliabile:

  • Attivare l’autenticazione pre-boot: configurare un PIN da inserire prima dell’avvio del sistema. Questo impedisce l’accesso automatico tramite TPM.
  • Aggiornamento delle configurazioni PCR: includere il registro PCR 4 per prevenire downgrade del bootloader.
  • Applicazione della patch KB5025885: sostituire i certificati Secure Boot e aggiornare il bootloader con una versione non vulnerabile. L’aggiornamento delle configurazioni PCR (Platform Configuration Register) si riferisce alla modifica del modo in cui il chip TPM (Trusted Platform Module) verifica l’integrità del sistema durante il processo di avvio. I registri PCR sono aree di memoria protetta all’interno del TPM utilizzate per memorizzare misurazioni crittografiche relative ai componenti critici, come firmware, bootloader e configurazioni di sistema.
  • Disabilitazione dell’avvio PXE: ove possibile, rimuovere questa opzione per ridurre i vettori di attacco.

Gli autori dello studio, rilevano tuttavia che la disattivazione del boot via PXE può non essere da sola sufficiente perché molteplici BIOS UEFI configurano automaticamente il boot del sistema, ad esempio, da adattatori USB. Un eventuale aggressore può indicare manualmente il dispositivo esterno da cui effettuare l’avvio tramite PXE di fatto superando quest’accortezza.

Credit immagine in apertura: iStock.com – natatravel

Ti consigliamo anche

Deepfake e AI: entro il 2027 stimati danni per 40 miliardi di dollari
Vulnerabilità

Deepfake e AI: entro il 2027 stimati danni per 40 miliardi di dollari
Google OAuth, attenzione ai dati altrui che gli aggressori possono recuperare
Sicurezza

Google OAuth, attenzione ai dati altrui che gli aggressori possono recuperare
Conad attaccata dagli hacker: rubati i documenti di clienti e risorse umane
Vulnerabilità

Conad attaccata dagli hacker: rubati i documenti di clienti e risorse umane
KB5049981 aggiorna Windows 10 con la lista dei driver kernel vulnerabili
Windows

KB5049981 aggiorna Windows 10 con la lista dei driver kernel vulnerabili
Link copiato negli appunti