La scorsa settimana, al Chaos Communication Congress (CCC), è emersa una rivelazione che ha scosso le fondamenta della crittografia BitLocker di Windows. Il ricercatore di sicurezza Thomas Lambertz, nella sua presentazione Windows BitLocker: Screwed without a Screwdriver, ha infatti rivelato una vulnerabilità che permette agli aggressori di aggirare la crittografia BitLocker e di accedere ai dati sensibili anche su sistemi presumibilmente patchati.

La vulnerabilità, denominata “bitpixie” (CVE-2023-21563), è stata inizialmente risolta da Microsoft nel novembre 2022, ma Lambertz ha dimostrato come gli aggressori possano sfruttare un bootloader di Windows obsoleto tramite Secure Boot per estrarre le chiavi di crittografia. Questo attacco richiede solo un accesso fisico momentaneo al dispositivo e una connessione di rete.

Businessman,Working,On,The,Computer.,Warning,Alert,System,Concept,,Hacked

La causa principale risiede nella limitata capacità di memorizzazione dei certificati all’interno di UEFI, un componente critico del processo di avvio. Si prevede che i nuovi certificati Secure Boot non saranno disponibili prima del 2026 e quindi, come misure provvisorie, Lambertz consiglia agli utenti di impostare PIN personalizzati per BitLocker o di disabilitare l’accesso alla rete attraverso il BIOS. Tuttavia, anche un dispositivo USB di base collegato in rete potrebbe potenzialmente facilitare l’attacco.

Sebbene l’utente medio non sia un obiettivo primario di possibili attacchi, le implicazioni per le aziende, i governi e altri ambienti ad alta sicurezza sono significative, visto che la possibilità di decriptare completamente un dispositivo con un breve accesso fisico solleva preoccupazioni molto serie sulla protezione dei dati.