当前位置: 首页
业界动态
Windows 11面临BitUnlocker攻击风险五分钟即可解密磁盘

Windows 11面临BitUnlocker攻击风险五分钟即可解密磁盘

热心网友 时间:2026-05-13
转载

近期,安全研究领域披露了一项针对微软BitLocker加密的降级攻击技术——BitUnlocker。该工具利用系统补丁更新与证书吊销之间的时间窗口,可在物理接触设备后5分钟内破解已安装最新补丁的Windows 11加密卷,对企业数据安全构成直接威胁。 此次攻击基于微软安全测试与攻防研究团队(STOR

近期,安全研究领域披露了一项针对微软BitLocker加密的降级攻击技术——BitUnlocker。该工具利用系统补丁更新与证书吊销之间的时间窗口,可在物理接触设备后5分钟内破解已安装最新补丁的Windows 11加密卷,对企业数据安全构成直接威胁。

此次攻击基于微软安全测试与攻防研究团队(STORM)此前发现的四个高危0Day漏洞之一,编号为CVE-2025-48804。微软已于2025年7月“补丁星期二”发布了官方修复更新。

BitLocker降级攻击原理深度解析

该漏洞根源位于Windows恢复环境(WinRE)中,涉及系统部署映像(SDI)文件的处理机制。具体而言,当启动管理器加载SDI引用的合法WIM文件进行完整性校验时,存在逻辑缺陷,允许攻击者将第二个受控的WIM文件附加至SDI的blob表中。这导致启动管理器虽验证了首个合法文件,实际却从第二个包含篡改版WinRE镜像的WIM文件启动。此恶意镜像会在BitLocker加密卷已解密并挂载的状态下,直接启动命令提示符(cmd.exe),从而绕过加密防护。

微软已通过2025年7月的Windows Update为所有受支持系统提供了修复后的bootmgfw.efi文件。然而,仅安装该补丁并不能完全消除风险。

BitUnlocker攻击技术关键细节

此次攻击成功的关键,并非补丁是否安装,而在于一个未被吊销的签名证书。核心在于理解:安全启动(Secure Boot)验证的是二进制文件的签名证书,而非文件版本。在2025年7月修复前用于签署所有启动管理器的旧版“Microsoft Windows PCA 2011”证书,至今仍被绝大多数设备的Secure Boot数据库信任——除非设备在2026年初之后执行过全新的Windows安装。

这意味着,即使系统已安装最新补丁,若设备启动时加载的仍是由PCA 2011证书签名的、存在漏洞的旧版bootmgfw.efi文件,Secure Boot仍会将其判定为合法文件而放行。微软大规模吊销PCA 2011证书面临巨大运营挑战,因其会影响生态中大量由该证书签名的其他合法二进制文件。

研究人员基于STORM的原始发现及早期“bitpixie”降级漏洞利用成果,开发了可实际运行的攻击验证代码(PoC)。他们将上述弱点串联,形成了一条可在5分钟内完成的攻击链。最值得注意的是,攻击者仅需物理接触目标工作站,配合U盘或PXE启动服务器即可实施,无需专用硬件。

攻击流程与受影响系统范围

完整的攻击步骤可概括如下:

首先,攻击者准备一个指向被篡改SDI文件的修改版BCD(启动配置数据)文件,通过USB或PXE启动提供旧版、存在漏洞且由PCA 2011签名的启动管理器。目标设备会加载此补丁前的启动管理器版本,并通过Secure Boot验证。随后,在PCR测量值7和11仍通过PCA 2011证书验证的情况下,设备的TPM将静默释放BitLocker卷的主密钥(VMK)。最终,攻击者即可获得一个对已完全解密并挂载的操作系统卷拥有完全访问权限的命令提示符。

受影响的系统主要包括两类:一是仅配置了TPM(未设置PIN码)、且Secure Boot仍信任PCA 2011证书的BitLocker加密设备;二是未完成KB5025885更新迁移(即未采用新版Windows UEFI CA 2024证书签名)的系统。

相反,具备以下配置的设备可有效防御此攻击:启用了TPM+PIN预启动认证(需要用户交互才能解封VMK);或已完成KB5025885更新(意味着启动管理器签名已迁移至CA 2024证书)。

企业安全缓解与防护措施

对于企业安全团队,建议立即采取以下行动:

启用TPM+PIN预启动认证:这是当前最有效的防护手段,可阻止TPM在任何被操控的启动序列中释放卷主密钥。
部署KB5025885更新:推动系统将启动管理器签名迁移至CA 2024证书,并启用证书吊销控制机制。
验证启动管理器证书:可手动挂载EFI系统分区,使用sigcheck等工具确认当前bootmgfw.efi文件由CA 2024证书签署,而非旧的PCA 2011。
移除WinRE恢复分区:对于无法强制执行预启动认证的高安全等级设备,可考虑移除此分区,以最小化此类漏洞的攻击面。

目前,该攻击的验证代码(PoC)已在GitHub公开。企业需尽快审计内部BitLocker加密配置,并加速向CA 2024证书的迁移进程,以防攻击者将此类技术用于针对性入侵与数据窃取活动。

来源:https://www.51cto.com/article/843055.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
三星Galaxy S24 Ultra满血性能驰骋游戏世界

三星Galaxy S24 Ultra满血性能驰骋游戏世界

三星GalaxyS24Ultra凭借纯平高亮屏幕、第三代骁龙8移动平台、光追技术及扩大1 9倍的VC均热板,实现流畅游戏与稳定温控。5000毫安时电池与45W快充保障持久续航,获泰尔实验室两项五星认证。同时融合AI创新,带来沉浸式游戏体验。

时间:2026-07-16 22:53
洲明牵头发布全国首个VP用LED显示屏标准

洲明牵头发布全国首个VP用LED显示屏标准

聊一个行业里的大新闻——全国首个虚拟制作(VP)用LED显示屏标准,近日正式发布。该标准由洲明科技主导起草,全称为《虚拟制作(VP)用LED显示屏系统规范》,由中国光学光电子行业协会发布,直接填补了国内在该领域的标准空白,为虚拟拍摄LED显示屏产业的规范化发展奠定了重要基础。 为什么要制定这项标准?

时间:2026-07-16 22:51
涂鸦智能龙年潮品年货清单出炉,幸福感提升

涂鸦智能龙年潮品年货清单出炉,幸福感提升

春节期间,涂鸦智能推荐实用智能潮品年货。智能扫地机与擦窗机器人解放清洁双手;智能空气炸锅与厨房营养秤提升烹饪乐趣;激光星空投影仪与智能音响营造节日氛围,为家庭增添便捷与喜悦。

时间:2026-07-16 22:50
三星7天机高性价比与优质服务在激烈市场中脱颖而出

三星7天机高性价比与优质服务在激烈市场中脱颖而出

在当下的智能手机市场中,三星旗舰机型始终是备受瞩目的焦点——外观设计出众、硬件配置强悍,拥有大量忠实用户。不过,其高昂的售价也令人望而却步,旗舰机常常突破万元大关,让许多潜在消费者犹豫不决。为破解这一“心仪却难入手”的困境,三星推出了名为“7天机”的产品,以更亲民的价格和更完善的售后服务,在高端市场

时间:2026-07-16 22:50
曲面机器人研发商和意精工获前海母基金与卓源亚洲天使轮投资

曲面机器人研发商和意精工获前海母基金与卓源亚洲天使轮投资

和意精工获前海母基金与卓源亚洲天使轮投资,团队来自加拿大,研发自主曲面适应性机器人,实现无编程轨迹规划与在线快节拍自动化,应用于卫浴、叶片、车体等复杂曲面加工,自研算法使轨迹生成小于1秒。

时间:2026-07-16 22:35
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 热门数据榜