A Microsoft confirmou a descoberta e correção de diversas vulnerabilidades graves no Windows Recovery Environment (WinRE), ambiente nativo usado para reparos e diagnósticos do sistema. As falhas foram detectadas pela equipe interna de segurança STORM (Security Testing & Offensive Research) e têm origem em mudanças estruturais feitas para compatibilizar o recurso com o BitLocker, sistema de criptografia do Windows.

• Participe dos nossos canais no Twitter, Telegram ou Whatsapp!
• Confira nossos stories no Instagram e veja notícias como essa!
• Siga o tecflow no Spotify Podcast para ouvir nosso conteúdo!
• Anuncie conosco aqui ou apoie o tecflow clicando neste link
• Assine nossa newsletter neste link.

Como os bugs surgiram

Para garantir que a recuperação de sistemas criptografados pelo BitLocker fosse possível, a Microsoft alterou a forma como o WinRE é executado. Entre as mudanças, destacam-se:

• Movimento do arquivo WinRE.wim para uma partição de recuperação não criptografada.
• Introdução do Trusted WIM Boot, que valida a integridade da imagem antes do desbloqueio.
• Implementação de um re-bloqueio automático, exigindo a chave de recuperação para acessar ferramentas críticas como o Prompt de Comando.

Essas alterações, porém, criaram uma brecha: durante a validação, o ambiente entrava em estado de desbloqueio automático, permitindo que atacantes com acesso físico ao dispositivo manipulassem partições não protegidas, como a EFI e a própria partição de recuperação.

O WinRE apresentou vulnerabilidades importantes após reformulações impostas pelo BitLocker. (Fonte: Microsoft/Reprodução)

As falhas encontradas

Quatro vulnerabilidades foram catalogadas pela Microsoft:

• CVE-2025-48800 – Permitia carregar imagens WinRE adulteradas, garantindo auto-desbloqueio.
• CVE-2025-48003 – Explorava arquivos de configuração (ReAgent.xml) para acionar ferramentas confiáveis e manter o Prompt de Comando desbloqueado.
• CVE-2025-48804 – Abusava da validação de apps para executar o cmd.exe com privilégios elevados.
• CVE-2025-48818 – Manipulava o BCD junto ao recurso de redefinição do Windows, possibilitando a descriptografia total de volumes protegidos.

Segundo especialistas, um invasor poderia usar essas brechas para extrair dados criptografados, acessar credenciais ou até descriptografar completamente o volume do sistema, sem precisar de autenticação.

Correções e recomendações

As vulnerabilidades foram corrigidas no Patch Tuesday de julho de 2025 e também estão presentes nas atualizações cumulativas de agosto para Windows 10 e 11.

Como medidas adicionais, a Microsoft recomenda:

• Ativar o TPM com PIN (autenticação pré-inicialização), dificultando ataques baseados em desbloqueio automático.
• Habilitar a mitigação REVISE, que bloqueia o uso de imagens de recuperação antigas e vulneráveis.

Implicações

O BitLocker foi desenvolvido para proteger dados em caso de perda ou roubo do dispositivo, mas essas falhas mostraram que a segurança pode ser comprometida quando há acesso físico ao hardware. O risco é ainda mais preocupante em empresas, órgãos governamentais e ambientes de alta rotatividade de equipamentos.

O especialista em cibersegurança Jacob Ashdown alerta:

“Se exploradas, essas falhas podem expor arquivos sensíveis, credenciais e comprometer a integridade de todo o sistema.”

Resumo

Item	Detalhes
Vulnerabilidades	CVE-2025-48800, CVE-2025-48003, CVE-2025-48804, CVE-2025-48818
Origem	Alterações no WinRE para suportar BitLocker
Riscos	Execução de comandos, desbloqueio automático, descriptografia total
Correção	Atualizações de julho e agosto de 2025
Recomendações	Ativar TPM+PIN e habilitar REVISE

As falhas representam um dos incidentes mais sérios envolvendo o ambiente de recuperação do Windows nos últimos anos. Embora a Microsoft já tenha lançado as correções, a empresa reforça a importância de manter os sistemas atualizados e adotar camadas extras de proteção, especialmente em dispositivos que circulam em ambientes corporativos ou que podem ser alvo de roubo.

Usuários que utilizam o BitLocker devem instalar as atualizações mais recentes e revisar imediatamente suas configurações de segurança.

Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.