Das macht die Attacke besonders gefährlich in Unternehmensnetzwerken. Hat ein kompromittierter Nutzer höhere Rechte – etwa als Domain Admin –, kann sich der Angreifer lateral durch das Netzwerk bewegen, ohne sofort entdeckt zu werden. Viele Sicherheitslösungen stufen den gestarteten Prozess (BaaUpdate.exe) als ungefährlich ein, da es sich um ein legitimes Windows-Binary handelt. So verschleiert sich der Angriff und bleibt oft unter dem Radar gängiger Monitoring-Tools.
BitLocker galt lange als verlässliche Festplattenverschlüsselung – doch aktuelle Erkenntnisse zeigen: Auch dieser Schutz ist nicht unangreifbar. Zwei voneinander unabhängige Angriffsvektoren offenbaren gravierende Schwachstellen, die sowohl über das Netzwerk als auch bei physischem Zugriff ausgenutzt werden können.
Die erste Bedrohung zielt auf ein vertrautes Konzept der Windows-Architektur: COM-Komponenten. Security‑Forscher Fabian Mosch stellte auf der Troopers 2025 eine Angriffstechnik vor, die sich unter dem Namen BitLockMove bereits unter IT-Sicherheitskreisen verbreitet. Der Trick dabei: Ein Angreifer kann sich in die COM-Struktur von BitLocker einklinken, indem er gezielt eine fehlende CLSID manipuliert – in diesem Fall A7A63E5C-3877-4840-8727-C1EA9D7A4D50. Wird diese Komponente durch Registry-Einträge mit einer eigenen DLL ersetzt, startet Windows beim nächsten Aufruf den Schadcode – und zwar mit den Rechten des angemeldeten Nutzers.
Parallel dazu hat Microsoft selbst eine kritische Schwachstelle in BitLockers Geräteverschlüsselung bestätigt: CVE‑2025‑48818. Dieser Fehler basiert auf einem klassischen Time-of-check to time-of-use (TOCTOU)-Problem. Der Angreifer kann in einem winzigen Zeitfenster zugreifen – genau in dem Moment, in dem das System prüft, ob eine Verschlüsselung aktiv ist, sie aber noch nicht durchsetzt. Das reicht aus, um Zugriff auf eigentlich geschützte Daten zu erhalten.
Besonders alarmierend: Für diesen Angriff braucht man keine Adminrechte, keine Interaktion mit dem Nutzer – nur physischen Zugriff auf das Gerät. Betroffen sind verschiedene Versionen von Windows 10, 11 und mehrere Windows-Server-Editionen. Das macht vor allem mobile Geräte wie Laptops zum Risiko. Gerät ein solches System in falsche Hände und ist nicht gepatcht, hilft auch die aktivierte BitLocker-Verschlüsselung nicht mehr.
Microsoft hat schnell reagiert und Updates bereitgestellt – unter anderem KB5062552 bis KB5062560. Sie schließen die Lücke zuverlässig, müssen aber auch aktiv ausgerollt werden. Unternehmen, die Patch-Management schleifen lassen, bleiben anfällig.
Diese beiden Angriffswege zeigen deutlich: Sicherheit ist kein Zustand, sondern ein Prozess. Selbst etablierte Schutzmechanismen wie BitLocker können durch kreative Techniken ausgehebelt werden – ob durch Registry-Manipulation oder präzises Timing beim Systemstart.
Organisationen sollten daher nicht nur auf Updates setzen, sondern ihr Sicherheitskonzept ganzheitlich überdenken. Dazu gehört auch, physische Zugriffe besser zu kontrollieren – etwa durch sichere Hardware-Speicherung, automatisierte Sperrmechanismen oder moderne Endpoint Detection Systeme. Auch ungewöhnliche COM- und DLL-Ladevorgänge sollten überwacht werden, da Angriffe wie BitLockMove legitime Strukturen nutzen, um sich zu tarnen.
Für alle, die in der deutschen Cybersecurity-Szene arbeiten – ob Admin, CISO oder IT-Berater –, ist klar: Angreifer werden nicht mehr lauter, sie werden leiser. Und genau das macht sie so gefährlich. BitLocker ist nicht kaputt, aber er braucht jetzt dringend Unterstützung: durch Patches, durch Monitoring und durch das Bewusstsein, dass jede Komponente zum Ziel werden kann – selbst jene, die eigentlich schützen sollen.
Weiterführende Links:
- COM-Hijacking bei BitLocker: CybersecurityNews
- CVE-2025-48818 und die Patch-Details: CybersecurityNews
Brauchen Sie eine fundierte Einschätzung Ihrer IT- und Sicherheitssysteme? Dann kontaktieren Sie uns – wir helfen Ihnen, Risiken frühzeitig zu erkennen und gezielt zu handeln.
