8月14日，在2025年美国黑帽大会与DEF CON 33安全峰会上，微软安全测试与攻击研究团队公布了Windows恢复环境中存在的多处安全漏洞。

攻击者可能利用这些漏洞绕过BitLocker加密机制，从而获取受保护的用户数据。

作为Windows系统内置的全盘加密功能，BitLocker是目前少数能有效抵御物理攻击的数据防护方案之一。

自BitLocker推出以来，微软对WinRE进行了多项改进，确保即使在BitLocker加密的Windows系统盘无法访问时仍能执行系统恢复。这些改进包括：将WinRE.wim镜像从加密的系统分区转移至未加密的恢复分区；引入可信WIM启动机制，在自动解锁系统分区前验证镜像完整性；以及增强高风险工具（如命令提示符）使用时的卷重新锁定功能，需要输入BitLocker恢复密钥才能重新获得访问权限。

研究团队发现，在可信WIM启动验证通过后，WinRE会进入自动解锁状态，并从EFI系统分区、恢复卷等未受保护的分区读取文件。在此过程中，团队识别出WinRE及其启动流程中存在的多个安全弱点。

为降低攻击风险，微软建议用户启用TPM安全芯片并配合预启动PIN码验证，将风险限定在TPM范围内，减少对自动解锁机制的依赖。同时建议启用KB5025885更新中的REVISE防护措施，有效防范降级攻击。

此次披露的漏洞编号包括CVE-2025-48800、CVE-2025-48003、CVE-2025-48804和CVE-2025-48818，微软已在2025年7月的补丁星期二活动中发布了修复更新。

由于补丁采用累积更新形式，用户可通过安装2025年8月发布的Windows 11更新包或Windows 10系列安全补丁，确保系统获得全面防护。