A Microsoft identificou um conjunto de vulnerabilidades no Windows Recovery Environment (WinRE), ambiente de reparação e análise do Windows. As falhas, todas resultantes de mudanças estruturais impostas pelo BitLocker, foram detalhadas pela Equipe de Testes de Segurança e Pesquisa Ofensiva da empresa (STORM).
O BitLocker oferece proteção de dados em repouso por meio de criptografia total de volume, sendo uma das poucas ferramentas capazes de proteger arquivos contra ataques físicos. Para implementar o recurso, a Microsoft aplicou alterações no WinRE para garantir que a recuperação do sistema permanecesse possível mesmo quando o volume criptografado do dispositivo estivesse inacessível.
Entre essas mudanças, a empresa moveu o arquivo WinRE.wim — arquivo de imagem de disco — para uma partição de recuperação não criptografada, adotou o Trusted WIM Boot (validador que verifica a integridade da imagem antes de desbloquear volumes) e implementou um mecanismo de re-bloqueio que exige a chave de recuperação do BitLocker ao utilizar ferramentas sensíveis, como o Prompt de Comando.
O WinRE apresentou vulnerabilidades importantes após reformulações impostas pelo BitLocker. (Fonte: Microsoft/Reprodução)
Com essa nova estrutura, a conclusão da validação do Trusted WIM Boot coloca o WinRE em estado de desbloqueio automático, permitindo o processamento de arquivos em partições desprotegidas, como a EFI e a partição de recuperação. Foi nesse ponto que os pesquisadores encontraram múltiplas vulnerabilidades que, antes da implementação do BitLocker, não representavam um risco significativo.
A correção para todas essas brechas foi liberada no Patch Tuesday de julho para o Windows 10 e Windows 11. Elas também estão incluídas nas atualizações cumulativas de agosto — KB5063878 e KB5063875 no Windows 11; KB5063709, KB5063877, KB5063871 e KB5063889 no Windows 10.
Como medida preventiva adicional, a Microsoft recomenda ativar o TPM com PIN para autenticação pré-inicialização, reduzindo a exposição ao desbloqueio automático e fortalecendo a segurança contra ataques físicos.
Manter o Windows atualizado é essencial para garantir a segurança do seu PC contra vulnerabilidades críticas como essa. Continue acompanhando o TecMundo para ficar por dentro das últimas atualizações de segurança, falhas descobertas e dicas para proteger seus dados.
Perguntas Frequentes
O que motivou a descoberta das falhas de segurança no Windows Recovery Environment (WinRE)?keyboard_arrow_down
As falhas foram identificadas após a Microsoft implementar mudanças estruturais no WinRE para garantir compatibilidade com o BitLocker. Essas alterações, embora visassem manter a recuperação do sistema funcional mesmo com volumes criptografados, acabaram ampliando a superfície vulnerável a ataques.
Qual é a relação entre o BitLocker e as vulnerabilidades encontradas?keyboard_arrow_down
O BitLocker, ao exigir que o sistema de recuperação funcionasse mesmo com volumes criptografados, levou a modificações no WinRE. Entre elas, o arquivo WinRE.wim foi movido para uma partição não criptografada, o que, combinado com o desbloqueio automático após a validação do Trusted WIM Boot, expôs o sistema a novas vulnerabilidades.
Quais são as falhas de segurança identificadas pela Microsoft?keyboard_arrow_down
As vulnerabilidades foram catalogadas com os seguintes códigos: CVE-2025-48800, CVE-2025-48003, CVE-2025-48804 e CVE-2025-48818. Todas estão relacionadas ao comportamento do WinRE após as mudanças impostas pelo BitLocker.
Como a Microsoft corrigiu essas vulnerabilidades?keyboard_arrow_down
As correções foram disponibilizadas no Patch Tuesday de julho e também incluídas nas atualizações cumulativas de agosto. As atualizações específicas são: KB5063878 e KB5063875 para Windows 11; KB5063709, KB5063877, KB5063871 e KB5063889 para Windows 10.
O que é o Trusted WIM Boot e qual seu papel nas falhas?keyboard_arrow_down
O Trusted WIM Boot é um validador que verifica a integridade da imagem do sistema antes de desbloquear volumes criptografados. Após sua validação, o WinRE entra em estado de desbloqueio automático, o que permitiu o processamento de arquivos em partições desprotegidas — ponto crítico onde as vulnerabilidades foram exploradas.
Quais medidas adicionais de segurança a Microsoft recomenda?keyboard_arrow_down
Como precaução, a Microsoft recomenda ativar o TPM com PIN para autenticação pré-inicialização. Essa medida reduz a exposição ao desbloqueio automático e fortalece a proteção contra ataques físicos ao dispositivo.
Por que manter o Windows atualizado é importante nesse contexto?keyboard_arrow_down
Manter o sistema operacional atualizado é essencial para proteger o computador contra vulnerabilidades críticas como as descobertas no WinRE. As atualizações fornecem correções que impedem a exploração dessas falhas por agentes maliciosos.
){kind=small}
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
