Windows 11面临BitUnlocker攻击风险五分钟即可解密磁盘
近期,安全研究领域披露了一项针对微软BitLocker加密的降级攻击技术——BitUnlocker。该工具利用系统补丁更新与证书吊销之间的时间窗口,可在物理接触设备后5分钟内破解已安装最新补丁的Windows 11加密卷,对企业数据安全构成直接威胁。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
此次攻击基于微软安全测试与攻防研究团队(STORM)此前发现的四个高危0Day漏洞之一,编号为CVE-2025-48804。微软已于2025年7月“补丁星期二”发布了官方修复更新。
BitLocker降级攻击原理深度解析
该漏洞根源位于Windows恢复环境(WinRE)中,涉及系统部署映像(SDI)文件的处理机制。具体而言,当启动管理器加载SDI引用的合法WIM文件进行完整性校验时,存在逻辑缺陷,允许攻击者将第二个受控的WIM文件附加至SDI的blob表中。这导致启动管理器虽验证了首个合法文件,实际却从第二个包含篡改版WinRE镜像的WIM文件启动。此恶意镜像会在BitLocker加密卷已解密并挂载的状态下,直接启动命令提示符(cmd.exe),从而绕过加密防护。
微软已通过2025年7月的Windows Update为所有受支持系统提供了修复后的bootmgfw.efi文件。然而,仅安装该补丁并不能完全消除风险。
BitUnlocker攻击技术关键细节
此次攻击成功的关键,并非补丁是否安装,而在于一个未被吊销的签名证书。核心在于理解:安全启动(Secure Boot)验证的是二进制文件的签名证书,而非文件版本。在2025年7月修复前用于签署所有启动管理器的旧版“Microsoft Windows PCA 2011”证书,至今仍被绝大多数设备的Secure Boot数据库信任——除非设备在2026年初之后执行过全新的Windows安装。
这意味着,即使系统已安装最新补丁,若设备启动时加载的仍是由PCA 2011证书签名的、存在漏洞的旧版bootmgfw.efi文件,Secure Boot仍会将其判定为合法文件而放行。微软大规模吊销PCA 2011证书面临巨大运营挑战,因其会影响生态中大量由该证书签名的其他合法二进制文件。
研究人员基于STORM的原始发现及早期“bitpixie”降级漏洞利用成果,开发了可实际运行的攻击验证代码(PoC)。他们将上述弱点串联,形成了一条可在5分钟内完成的攻击链。最值得注意的是,攻击者仅需物理接触目标工作站,配合U盘或PXE启动服务器即可实施,无需专用硬件。
攻击流程与受影响系统范围
完整的攻击步骤可概括如下:
首先,攻击者准备一个指向被篡改SDI文件的修改版BCD(启动配置数据)文件,通过USB或PXE启动提供旧版、存在漏洞且由PCA 2011签名的启动管理器。目标设备会加载此补丁前的启动管理器版本,并通过Secure Boot验证。随后,在PCR测量值7和11仍通过PCA 2011证书验证的情况下,设备的TPM将静默释放BitLocker卷的主密钥(VMK)。最终,攻击者即可获得一个对已完全解密并挂载的操作系统卷拥有完全访问权限的命令提示符。
受影响的系统主要包括两类:一是仅配置了TPM(未设置PIN码)、且Secure Boot仍信任PCA 2011证书的BitLocker加密设备;二是未完成KB5025885更新迁移(即未采用新版Windows UEFI CA 2024证书签名)的系统。
相反,具备以下配置的设备可有效防御此攻击:启用了TPM+PIN预启动认证(需要用户交互才能解封VMK);或已完成KB5025885更新(意味着启动管理器签名已迁移至CA 2024证书)。
企业安全缓解与防护措施
对于企业安全团队,建议立即采取以下行动:
启用TPM+PIN预启动认证:这是当前最有效的防护手段,可阻止TPM在任何被操控的启动序列中释放卷主密钥。
部署KB5025885更新:推动系统将启动管理器签名迁移至CA 2024证书,并启用证书吊销控制机制。
验证启动管理器证书:可手动挂载EFI系统分区,使用sigcheck等工具确认当前bootmgfw.efi文件由CA 2024证书签署,而非旧的PCA 2011。
移除WinRE恢复分区:对于无法强制执行预启动认证的高安全等级设备,可考虑移除此分区,以最小化此类漏洞的攻击面。
目前,该攻击的验证代码(PoC)已在GitHub公开。企业需尽快审计内部BitLocker加密配置,并加速向CA 2024证书的迁移进程,以防攻击者将此类技术用于针对性入侵与数据窃取活动。
相关攻略
科技巨头谷歌再次向笔记本市场投下一枚重磅冲击波。旗下Alphabet公司近日正式推出了一个名为“Googlebook”的全新高端笔记本产品线。与以往不同,这条产品线将直接运行安卓系统,并将谷歌的Gemini人工智能作为核心卖点进行深度整合。据悉,戴尔、联想和惠普等硬件合作伙伴将在未来几个月内推出基于
5月11日,一则关于Windows 11测试版隐藏功能“低延迟配置文件”的消息,在科技圈引发了广泛关注与讨论。 该功能的核心机制非常直接:当用户执行高优先级交互操作,例如点击启动应用程序、呼出开始菜单或右键菜单时,系统会瞬间将CPU频率提升至最高状态,并维持1到3秒。其设计目标清晰——显著降低系统响
Windows11桌面右键菜单缺失“刷新”选项,通常因注册表项失效或被删所致。可通过管理员终端注入注册表命令、手动重建注册表项、导入预置 reg文件、运行系统文件检查工具或卸载干扰性右键菜单管理软件等方法恢复。操作后需重启资源管理器使更改生效。
Windows11显示器发绿偏色时,可从系统、驱动和硬件三方面排查。先在系统设置中启用自动颜色管理并加载标准ICC配置文件;再利用系统工具校准绿色通道,在显卡控制面板禁用绿色增强功能;最后重置显示器OSD菜单,关闭固件级绿色优化并恢复出厂设置。
Windows11内置的“文件历史记录”功能可自动备份文件至外置硬盘或网络位置,帮助找回误删或覆盖的文档。用户可通过设置应用、控制面板、运行命令sdclt、文件资源管理器右键菜单或PowerShell命令行等多种方式启用该功能并访问历史版本,按需选择适合的操作路径进行恢复。
热门专题
热门推荐
在《燕云十六声》凉州区域达成“天长地酒”成就,需依次前往清玉岸及后续两处指定地点完成饮酒互动。三步全部完成后即可领取奖励。
在《燕云十六声》皇宫区域达成“渡影者”成就,需先传送至崇元殿,并将时间调整至子时。找到NPC叶育延对话后,按指引寻至张扬。依次清理其左右两侧的石狮子,最后返回与张扬对话即可解锁成就。
在《燕云十六声》中,达成“俺们真的懂了”成就需完成升平楼区域的借书事件链。首先于戌时前往升平楼找到NPC陈看全接取任务,随后偷听吴清对话并取得其书籍。最后将时间调至白天,返回升平楼把书交还给陈看全,即可解锁成就并获得奖励。
Bun宣布用六天完成的Rust版本取代原有Zig实现,涉及96万行代码,旨在解决内存泄漏与稳定性问题,尤其是作为ClaudeCode运行时的性能瓶颈。重写主要由AI完成,虽快速通过测试,但引发社区对代码质量及大量unsafe调用的担忧。此举标志Bun转向Rust,也反映AI驱动大规模代码重写的趋势。
风险投资巨头a16z及其联合创始人在本届美国中期选举中已披露联邦捐款超1 15亿美元,成为已知最大捐助方。其捐款额远超索罗斯、马斯克等人,较上一选举周期大幅增加。选举次日,a16z即向加密货币行业相关超级政治行动委员会注资超2300万美元,显示出其政治投入具有长期战略意图。