游乐游手机版
首页/业界动态/文章详情

Windows 11面临BitUnlocker攻击风险五分钟即可解密磁盘

时间:2026-05-13 19:44
近期,安全研究领域披露了一项针对微软BitLocker加密的降级攻击技术——BitUnlocker。该工具利用系统补丁更新与证书吊销之间的时间窗口,可在物理接触设备后5分钟内破解已安装最新补丁的Windows 11加密卷,对企业数据安全构成直接威胁。 此次攻击基于微软安全测试与攻防研究团队(STOR

近期,安全研究领域披露了一项针对微软BitLocker加密的降级攻击技术——BitUnlocker。该工具利用系统补丁更新与证书吊销之间的时间窗口,可在物理接触设备后5分钟内破解已安装最新补丁的Windows 11加密卷,对企业数据安全构成直接威胁。

此次攻击基于微软安全测试与攻防研究团队(STORM)此前发现的四个高危0Day漏洞之一,编号为CVE-2025-48804。微软已于2025年7月“补丁星期二”发布了官方修复更新。

BitLocker降级攻击原理深度解析

该漏洞根源位于Windows恢复环境(WinRE)中,涉及系统部署映像(SDI)文件的处理机制。具体而言,当启动管理器加载SDI引用的合法WIM文件进行完整性校验时,存在逻辑缺陷,允许攻击者将第二个受控的WIM文件附加至SDI的blob表中。这导致启动管理器虽验证了首个合法文件,实际却从第二个包含篡改版WinRE镜像的WIM文件启动。此恶意镜像会在BitLocker加密卷已解密并挂载的状态下,直接启动命令提示符(cmd.exe),从而绕过加密防护。

微软已通过2025年7月的Windows Update为所有受支持系统提供了修复后的bootmgfw.efi文件。然而,仅安装该补丁并不能完全消除风险。

BitUnlocker攻击技术关键细节

此次攻击成功的关键,并非补丁是否安装,而在于一个未被吊销的签名证书。核心在于理解:安全启动(Secure Boot)验证的是二进制文件的签名证书,而非文件版本。在2025年7月修复前用于签署所有启动管理器的旧版“Microsoft Windows PCA 2011”证书,至今仍被绝大多数设备的Secure Boot数据库信任——除非设备在2026年初之后执行过全新的Windows安装。

这意味着,即使系统已安装最新补丁,若设备启动时加载的仍是由PCA 2011证书签名的、存在漏洞的旧版bootmgfw.efi文件,Secure Boot仍会将其判定为合法文件而放行。微软大规模吊销PCA 2011证书面临巨大运营挑战,因其会影响生态中大量由该证书签名的其他合法二进制文件。

研究人员基于STORM的原始发现及早期“bitpixie”降级漏洞利用成果,开发了可实际运行的攻击验证代码(PoC)。他们将上述弱点串联,形成了一条可在5分钟内完成的攻击链。最值得注意的是,攻击者仅需物理接触目标工作站,配合U盘或PXE启动服务器即可实施,无需专用硬件。

攻击流程与受影响系统范围

完整的攻击步骤可概括如下:

首先,攻击者准备一个指向被篡改SDI文件的修改版BCD(启动配置数据)文件,通过USB或PXE启动提供旧版、存在漏洞且由PCA 2011签名的启动管理器。目标设备会加载此补丁前的启动管理器版本,并通过Secure Boot验证。随后,在PCR测量值7和11仍通过PCA 2011证书验证的情况下,设备的TPM将静默释放BitLocker卷的主密钥(VMK)。最终,攻击者即可获得一个对已完全解密并挂载的操作系统卷拥有完全访问权限的命令提示符。

受影响的系统主要包括两类:一是仅配置了TPM(未设置PIN码)、且Secure Boot仍信任PCA 2011证书的BitLocker加密设备;二是未完成KB5025885更新迁移(即未采用新版Windows UEFI CA 2024证书签名)的系统。

相反,具备以下配置的设备可有效防御此攻击:启用了TPM+PIN预启动认证(需要用户交互才能解封VMK);或已完成KB5025885更新(意味着启动管理器签名已迁移至CA 2024证书)。

企业安全缓解与防护措施

对于企业安全团队,建议立即采取以下行动:

启用TPM+PIN预启动认证:这是当前最有效的防护手段,可阻止TPM在任何被操控的启动序列中释放卷主密钥。
部署KB5025885更新:推动系统将启动管理器签名迁移至CA 2024证书,并启用证书吊销控制机制。
验证启动管理器证书:可手动挂载EFI系统分区,使用sigcheck等工具确认当前bootmgfw.efi文件由CA 2024证书签署,而非旧的PCA 2011。
移除WinRE恢复分区:对于无法强制执行预启动认证的高安全等级设备,可考虑移除此分区,以最小化此类漏洞的攻击面。

目前,该攻击的验证代码(PoC)已在GitHub公开。企业需尽快审计内部BitLocker加密配置,并加速向CA 2024证书的迁移进程,以防攻击者将此类技术用于针对性入侵与数据窃取活动。

来源:https://www.51cto.com/article/843055.html
上一篇小米汽车2026年产品规划曝光 四款新车将覆盖主流市场 下一篇美国考虑禁用中国通信模块 全球市场七成份额面临挑战
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
诺基亚TA-1619入网:1400mAh电池双卡双待新机
业界动态 · 2026-07-01

诺基亚TA-1619入网:1400mAh电池双卡双待新机

诺基亚又有新动作了。7月1日消息,一款型号为TA-1619的诺基亚新机已经拿到了电信设备进网许可,不过证件照目前还没公布。 从入网信息来看,这是一款TD-LTE数字移动电话机,支持TD-LTE网络,属于LTE单天线终端设备。双卡双待、VoLTE语音模式都支持,终端款式为直板。核心配置方面,电池额定容

芯佰微CBMRF900系列国产射频芯片突破海外壁垒
业界动态 · 2026-07-01

芯佰微CBMRF900系列国产射频芯片突破海外壁垒

芯佰微电子发布CBMRF9002和CBMRF9009两款射频收发芯片,采用直接变频架构,覆盖10MHz至7250MHz频段,支持最大450MHz带宽及JESD204B高速接口,性能对标国际,满足5G基站与卫星通信等高端需求,突破海外技术壁垒。

月起私人充电桩可卖电 每度净赚5毛
业界动态 · 2026-07-01

月起私人充电桩可卖电 每度净赚5毛

近期有一则重大利好消息,值得新能源车主们特别留意——车网互动价格机制改革已正式落地。自7月1日起,湖北武汉的新能源车主,可在家中的私人充电桩上通过“卖电”轻松赚钱。具体而言,就是借助峰谷电价差,实现低买高卖,每度电净收益约5毛钱。过去,车网互动(V2G)基本只局限于特定的公共充电站,受试点规模限制,

谷歌发布Nano Banana 2 Lite 4秒出图1元4张
业界动态 · 2026-07-01

谷歌发布Nano Banana 2 Lite 4秒出图1元4张

先说几个关键信息:谷歌DeepMind又给图像生成赛道添了新选项。7月1日发布的消息,Nano Banana 2 Lite正式亮相。这个名字听起来像是水果命名系列大爆发,实际上它的技术代号是Gemini 3 1 Flash Lite Image,属于Gemini 3 1家族。最大的卖点就两个:快,便

技嘉专业电竞装备助力2025 CFS世界总决赛
业界动态 · 2026-07-01

技嘉专业电竞装备助力2025 CFS世界总决赛

2025CFS世界总决赛将于12月3日至14日在重庆举行,来自四大赛区的16支战队参赛。技嘉AORUS作为赛事设备合作伙伴,以主板、显示器等专业硬件保障比赛稳定流畅,并通过赛事反哺研发的闭环模式支持电竞发展。