보안 회사 Intrinsec의 연구원들은 최근 TPM(Trusted Platform Module) 보호 모드만 사용하여 Windows 11의 BitLocker 디스크 암호화를 5분 이내에 우회할 수 있는 "BitUnlocker"라는 도구를 공개했습니다. 이 도구는 소프트웨어 패치와 기존 인증서 폐기 사이의 시간 지연을 이용하는 소위 "다운그레이드 공격"을 이용합니다. 오래되었지만 여전히 신뢰할 수 있는 구성 요소를 로드하면 궁극적으로 BitLocker로 보호되는 디스크가 열립니다.
이번 공격은 Windows 복구 환경(Windows Recovery Environment) 및 시스템 배포 이미지(System 배포 이미지)의 처리 메커니즘에 위치한 보안 취약점 CVE-2025-48804와 관련이 있습니다. 마이크로소프트는 이를 수정하기 위해 2025년 7월 패치를 출시했다. 하지만 연구원들은 취약점이 패치되더라도 기존 인증서가 시스템에서 여전히 신뢰를 받고 있는 한 다운그레이드 경로를 통해 여전히 우회될 수 있다고 지적했습니다.
공격 조건으로 판단하면 BitUnlocker는 원격 공격 도구가 아닙니다. 공격자는 먼저 대상 장치에 대한 물리적 접근 권한을 얻어야 합니다. 예를 들어 공격자는 미리 준비된 USB 플래시 드라이브를 사용하여 악성 페이로드를 포함하면서 부팅 단계에서 무결성 검사를 통과하는 완전히 포맷되고 서명된 WIM(Windows 이미지) 파일을 Windows 부팅 관리자에 제공할 수 있습니다. 시스템은 "깨끗한" 이미지 파일을 확인한 후 계속해서 해당 파일에 있는 악성 코드를 무조건 실행하여 해독된 볼륨에 대한 액세스 권한을 얻습니다.
실제 핵심은 인증서 체인의 "대체" 공간을 활용한다는 것입니다. 현재 Microsoft의 초기 Windows PCA 2011 루트 인증서는 공격자에게 다운그레이드 공간을 제공하는 Secure Boot에서 여전히 전 세계적으로 신뢰를 받고 있습니다. 공격자는 알려진 취약점이 포함된 이전 버전의 부팅 관리자 바이너리를 로드할 수 있으며, 이전 버전의 파일은 여전히 Secure Boot의 서명 확인을 통과하고 시스템에서 합법적인 구성 요소로 실행될 수 있습니다.
이 공격은 기본 TPM 구성에만 의존하여 BitLocker를 사용하는 일반 PC 사용자 및 매니아들에게 보내는 엄연한 경고입니다. 다운그레이드된 레거시 부팅 관리자가 실행 중일 때 TPM은 여전히 기존 프로세스에 따라 부팅 측정값을 확인하고 이를 여전히 신뢰할 수 있는 PCA 2011 인증서와 비교합니다. 시스템 환경이 관점에서 "정상적으로 보이므로" TPM은 아무런 이상 없이 BitLocker 볼륨 마스터 키의 차단을 해제하고 전체 프로세스는 경보 메커니즘을 트리거하지 않습니다.
현재 이 공격 체인의 가장 큰 "버퍼"는 여전히 장치와의 물리적 접촉을 위한 전제 조건입니다. TPM 및 사전 부팅 PIN 구성이 켜져 있는 시스템의 경우 BitUnlocker와 같은 공격은 범위를 잃게 됩니다. TPM에서는 키를 해제하기 전에 추가 수동 입력 단계가 필요합니다. PIN이 유출되지 않는 한, 물리적인 공격자가 전체 다운그레이드 과정을 완료하고 복호화 키를 획득하는 것은 어렵습니다.
또한 KB5025885 업데이트를 완료하고 보안 부팅 신뢰 체인을 새로운 Windows UEFI CA 2023 디지털 인증서로 마이그레이션한 장치는 기본적으로 이 다운그레이드 경로를 차단할 수 있습니다. 이 구성에서는 PCA 2011을 사용하는 레거시 시작 구성 요소를 더 이상 신뢰할 수 없으며 진입점으로 사용할 수 없습니다. 연구원들은 사용자와 기업이 시스템이 관련 업데이트를 완료했는지 가능한 한 빨리 확인하고, 조건이 허락한다면 사전 부팅 PIN과 같은 추가 보호 조치를 활성화하여 물리적 공격의 위험을 줄여야 한다고 강조했습니다.
자세히 알아보기:
https://github.com/garatc/BitUnlocker