江蘇
關鍵詞
漏洞
一款名為BitUnlocker的新工具曝光了針對微軟BitLocker加密的降級攻擊手法。攻擊者通過利用補丁更新與證書吊銷之間的關鍵時間差,可在5分鐘內物理破解已打補丁的Windows 11設備上的加密卷。該攻擊源于微軟安全測試與攻防研究團隊(STORM)發現的四個關鍵0Day漏洞之一(CVE-2025-48804),已于2025年7月補丁星期二修復。
漏洞原理分析
根據Intrinsec研究,該漏洞存在于Windows恢復環境(WinRE)中,涉及系統部署映像(SDI)文件機制。當啟動管理器加載SDI引用的合法WIM(Windows映像格式)文件進行完整性驗證時,會同時允許將攻擊者控制的第二個WIM文件附加到SDI的blob表中。啟動管理器雖驗證第一個(合法)WIM文件,實際卻從包含修改版WinRE鏡像的第二個WIM啟動,該鏡像會在BitLocker卷已解密掛載狀態下直接啟動cmd.exe。
微軟雖在2025年7月通過Windows Update為所有受支持系統提供了修補后的bootmgfw.efi文件,但僅靠補丁無法徹底消除攻擊面。
攻擊技術細節
BitUnlocker攻擊得以實現的關鍵弱點并非補丁缺失,而是未吊銷的簽名證書。安全啟動(Secure Boot)驗證的是二進制文件的簽名證書而非版本號。在2025年7月修復前用于簽署所有啟動管理器的舊版Microsoft Windows PCA 2011證書,仍被當前絕大多數設備的Secure Boot數據庫信任(除非設備在2026年初之后執行過全新Windows安裝)。
這意味著采用PCA 2011簽名的補丁前版本bootmgfw.efi,即使存在漏洞仍會被Secure Boot視為完全有效。微軟大規模吊銷PCA 2011證書將面臨重大運營挑戰,因其會影響生態系統中大量合法簽名的二進制文件。
研究人員基于STORM原始研究和早期"bitpixie"降級漏洞利用成果,開發出可實際運行的PoC,將這些弱點串聯成5分鐘內完成的攻擊鏈。攻擊者僅需物理接觸目標工作站、配備U盤或PXE啟動服務器,無需專用硬件即可實施攻擊。
攻擊流程與影響范圍
攻擊步驟如下:
攻擊者準備指向篡改SDI的修改版BCD(啟動配置數據)文件
通過USB或PXE啟動提供舊版存在漏洞的PCA 2011簽名啟動管理器
目標設備加載補丁前版本的啟動管理器(可通過Secure Boot驗證)
TPM在PCR測量值7和11仍通過PCA 2011證書驗證的情況下,靜默釋放BitLocker卷主密鑰(VMK)
最終獲得已完全解密掛載OS卷的命令提示符
受影響系統包括:
僅配置TPM(無PIN)且Secure Boot仍信任PCA 2011證書的BitLocker設備
未完成KB5025885更新遷移(未采用新版Windows UEFI CA 2023證書簽名)的系統
具備以下配置的設備可防御此攻擊:
啟用TPM+PIN預啟動認證(需用戶交互才能解封VMK)
已完成KB5025885更新(啟動管理器簽名遷移至CA 2023證書)
安全團隊應立即采取以下措施:
- 啟用TPM+PIN預啟動認證
:最有效的防護措施,可阻止TPM在任何被操控的啟動序列中釋放VMK
- 部署KB5025885更新
:將啟動管理器簽名遷移至CA 2023證書并引入吊銷控制機制
- 驗證啟動管理器證書
:掛載EFI分區并使用sigcheck工具確認當前bootmgfw.efi由CA 2023而非PCA 2011簽署
- 移除WinRE恢復分區
:對于無法強制執行預啟動認證的高安全負載,可最小化此類漏洞的攻擊面
目前該PoC已在GitHub公開,企業需盡快審計BitLocker配置并加速CA 2023遷移,以防攻擊者將此技術用于針對性入侵。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
