Microsoft corrige bug de recuperação do BitLocker no Windows Server 2025

A Microsoft confirmou em 15 de abril de 2026 que um bug no BitLocker estava forçando sistemas Windows Server 2025 a solicitar a chave de recuperação após a instalação da atualização KB5082063 (abril de 2026). O problema não era generalizado: ocorria apenas em servidores com uma combinação rara de condições, BitLocker ativado na unidade do sistema, política de grupo configurada para incluir PCR7, certificado Windows UEFI CA 2023 presente no banco de dados Secure Boot e uso de um gerenciador de boot antigo, não assinado em 2023. Nessa configuração, o TPM registrava inconsistência no PCR7 ao tentar carregar o novo Windows Boot Manager, acionando o modo de recuperação. A correção foi lançada oficialmente no Patch Tuesday de 9 de junho de 2026, nas atualizações KB5094125 (Windows Server 2025, build 26100.32995) e KB5093998 (Windows 11 23H2).

O erro gerava o Event ID 1032 no log de eventos do sistema, sinalizando que o caminho de atualização do Secure Boot havia sido bloqueado pela política atual do BitLocker. A Microsoft já havia enfrentado falhas semelhantes em agosto de 2022, julho de 2024 e maio de 2025, todas ligadas a mudanças no comportamento do TPM ou no binding de PCR durante atualizações de firmware ou boot manager. Diferente de versões anteriores, este caso envolvia especificamente o PCR7 e o certificado UEFI CA 2023, introduzido para reforçar a cadeia de confiança no Windows 11 24H2 e Server 2025.

Esse bug importa porque interrompia a inicialização de servidores críticos sem aviso prévio, exigindo intervenção manual de administradores via chave de recuperação, o que pode causar indisponibilidade em ambientes corporativos que dependem de alta disponibilidade. Não houve perda de dados nem violação de segurança, mas a falha expôs uma fragilidade real na integração entre BitLocker, TPM 2.0, Secure Boot e políticas de grupo. Servidores com BitLocker habilitado e políticas de validação de plataforma TPM ativas, especialmente em ambientes que adotaram o certificado UEFI CA 2023 por conformidade com requisitos de segurança governamentais ou setoriais, foram os mais afetados. A Microsoft classificou o impacto como 'baixo' para usuários finais, mas 'alto' para equipes de infraestrutura que operam servidores com políticas rígidas de integridade de boot.

Para desenvolvedores e engenheiros de infraestrutura, o bug reforça que alterações em políticas de grupo relacionadas ao TPM exigem testes rigorosos antes de serem aplicadas em produção, especialmente quando envolvem PCR7, que agora está vinculado ao certificado UEFI CA 2023. O Event ID 1032 virou um indicador-chave para diagnosticar falhas de boot pós-atualização. Administradores precisaram ajustar scripts de implantação para validar se o Windows Boot Manager está assinado em 2023 antes de aplicar políticas que exigem PCR7, ou usar o Known Issue Rollback (KIR) como mitigação temporária. A correção na KB5094125 não reverteu o comportamento do Boot Manager, mas evita que ele seja instalado automaticamente em dispositivos com políticas incompatíveis, uma mudança de design que exige revisão de pipelines de atualização automatizados.