Berita Informasi

Bug Windows Bitlocker membocorkan enkripsi AES-XTS

Ditemukan sebuah bug dalam alat enkripsi Windows BitLocker yang diidentifikasi sebagai CVE-2025-21210. Kerentanan ini telah menyebabkan tereksposnya sistem enkripsi BitLocker ke serangan acak baru yang menargetkan mode enkripsi AES-XTS. Selain itu, kerentanan ini juga memungkinkan penyerang yang memiliki akses fisik, mampu memanipulasi blok ciphertext dan menyebabkan data sensitive ditulis ke disk dalam plaintext.

Seorang ahli forensik komputer, Maxim Suhanov, menyampaikan dalam temuannya mendapati bug tersebut memanfaatkan kelemahan desain dalam cara BitLocker menangani pengaturan dump crash.
Dengan memodifikasi satu kunci registri (HKLM \System\Control100Cet001\Control\CrashControl), penyerang dapat menonaktifkan driver filter dump.sys crash dump.

Hal ini memaksa kernel Windows untuk menulis file hibernasi yang tidak terenkripsi langsung ke disk. File tersebut sering kali berisi data sensitif dari RAM, seperti kata sandi, kunci enkripsi, dan informasi pribadi.

Fase Serangan:

1. Menentukan Lokasi Target: Penyerang harus menemukan offset disk yang tepat yang sesuai dengan kunci registri atau struktur data. Ini dilakukan dengan memantau perubahan ciphertext di beberapa bagian dari disk yang terenkripsi.

2. Mengacak Blok Ciphertext: Setelah lokasi target ditemukan, penyerang merusak blok ciphertext tertentu. Dalam mode AES-XTS, ini mengacak blok plaintext yang terkait tanpa memengaruhi blok lainnya.

    Kerentanan ini menimbulkan ancaman serius dalam situasi di mana perangkat dapat diakses secara fisik. Contohnya adalah:

    • Spionase Perusahaan: Penyerang dapat memanfaatkan celah ini pada laptop curian yang dilindungi oleh BitLocker dengan TPM khusus.
    • Penyalahgunaan Pemulihan Data: Perangkat yang dikirim untuk perbaikan atau daur ulang dapat menjadi target jika tidak ada tindakan keamanan yang memadai.

    Meski eksploitasi memerlukan keahlian teknis dan akses fisik yang cukup tinggi, potensi dampak yang ditimbulkan sangat besar karena paparan data sensitif yang disimpan di RAM.

    Perbaikan sudah tersedia

    Microsoft telah merilis pembaruan untuk driver fvevol.sys yang memastikan dumpfve.sys tetap tercantum dalam registri DumpFilters. Jika driver hilang atau rusak, Windows akan gagal boot untuk mencegah data tidak terenkripsi ditulis ke disk.

    Gambar 1. Pemeriksaan diimplementasikan dalam fungsi FveDiscoverVolume()

    Pengguna disarankan segera menginstal patch ini dan menerapkan langkah-langkah keamanan tambahan untuk melindungi perangkat dari risiko akses fisik.

    Sumber:
    https://nvd.nist.gov/vuln/detail/CVE-2025-21210
    https://cybersecuritynews.com/windows-bitlocker-vulnerability-exploited/
    https://www.scworld.com/news/windows-bitlocker-bug-exposes-aes-xts-encryption
    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21210
    https://dfir.ru/2025/01/20/cve-2025-21210-aka-crashxts-a-practical-randomization-attack-against-bitlocker/
    https://www.cve.org/CVERecord?id=CVE-2025-21210
    https://dfir.ru/wp-content/uploads/2025/01/image.png?w=940