BitUnlocker 다운그레이드 공격, 5분 안에 TPM 전용 윈도우 11 비트로커 우회

인트린섹의 보안 연구원들이 5분 안에 윈도우 11 비트로커 암호화를 우회하는 도구 "BitUnlocker"를 공개했습니다. 이 익스플로잇은 다운그레이드 공격을 활용해 열린 드라이브를 찾아내고, 소프트웨어 패치와 인증서 폐기 사이에 생기는 공백을 악용합니다. 2025년 7월 패치된 CVE-2025-48804 취약점에 뿌리를 둔 이 결함은 윈도우 복구 환경과 시스템 배포 이미지 메커니즘 안에 존재합니다. 다만 공격자가 대상 시스템에 물리적으로 접근해야 한다는 점은 완화 요인입니다.

물리적으로 접근할 수 있는 공격자는 플래시 드라이브를 이용해 부팅 관리자에 무결성 검사용 정상 윈도우 이미징 형식 파일을 제공하면서 악성 페이로드를 함께 넣을 수 있습니다. 시스템은 깨끗한 파일을 확인하지만 공격자의 코드를 그대로 부팅해 암호 해제된 볼륨에 접근할 수 있게 됩니다. 진짜 위험은 다운그레이드 경로에 있습니다. 마이크로소프트의 레거시 윈도우 PCA 2011 인증서가 보안 부팅에서 전 세계적으로 신뢰되기 때문에, 공격자는 시스템이 의심 없이 인증하는 오래되고 취약한 부팅 관리자만 로드하면 됩니다.

기본 TPM 구성에만 의존하는 PC 사용자에게는 경고 신호입니다. 다운그레이드된 부팅 관리자가 실행되면 TPM은 신뢰되는 PCA 2011 인증서를 기준으로 시스템 측정을 확인합니다. 이상 징후가 보이지 않기 때문에 경보를 울리지 않고 비트로커 볼륨 마스터 키의 봉인을 해제합니다. 물론 가장 큰 완화책은 물리적 접근이 필요하다는 점입니다. 하드웨어에서 키를 해제하려면 직접 상호작용해야 하므로, TPM과 사전 부팅 PIN을 함께 구성한 시스템은 이 공격에 영향을 받지 않습니다. 또한 최신 윈도우 UEFI CA 2023 디지털 보안 인증서로 KB5025885 업데이트 마이그레이션을 완료한 컴퓨터도 이 다운그레이드 경로로부터 보호됩니다.

2025년 8월 18일 마이크로소프트 윈도우 11 24H2 업데이트가 SSD 오류를 일으킬 수 있음 (278)

2025년 10월 21일 윈도우 11 25H2 10월 업데이트 버그로 복구 환경을 사용할 수 없게 됨 (170)

2025년 10월 17일 마이크로소프트 윈도우 11 10월 업데이트가 로컬호스트를 중단시켜 사용자가 강제로 되돌려야 함 (105)

댓글 보기