打了补丁也没用？一张旧证书，让BitLocker加密5分钟沦陷

漏洞曝光：5分钟绕过BitLocker加密防线
安全研究机构Intrinsec近日发布重磅研究，一款名为BitUnlocker的工具可在5分钟内突破Windows 11的BitLocker全盘加密保护，即使目标系统已安装微软2025年7月的安全补丁。该攻击利用的是CVE-2025-48804漏洞，这是微软STORM团队去年发现并修补的四个零日漏洞之一。
这并非传统意义上的"未打补丁"问题，而是源于一个关键安全缺口：虽然微软已发布修复程序，但用于签署旧版启动管理器的PCA 2011证书仍未被吊销，导致攻击者可通过降级攻击绕过安全机制。

攻击原理：证书信任链的致命漏洞
BitUnlocker攻击的核心在于Windows启动环境(WinRE)的SDI文件机制缺陷与安全启动证书信任问题的组合利用：漏洞根源：当启动管理器加载SDI文件引用的合法WIM镜像进行完整性验证时，会同时允许攻击者控制的第二个WIM镜像附加到SDI的blob表中；验证与执行分离：启动管理器仅验证第一个合法WIM，但实际启动的却是第二个被篡改的WinRE镜像，该镜像会直接启动命令提示符，此时BitLocker卷已被解密并挂载；证书降级关键：安全启动验证的是二进制文件的签名证书而非版本号。几乎所有在用设备的安全启动数据库仍信任PCA 2011证书，使得攻击者可使用旧版、易受攻击但仍受信任的bootmgfw.efi引导程序；TPM密钥释放：在PCA 2011证书信任环境下，PCR 7和11测量值保持有效，TPM会正常释放BitLocker卷主密钥(VMK)，无任何安全警报。

攻击条件与影响范围攻击者仅需满足三个条件：对目标设备的物理访问权限一个USB驱动器或PXE启动服务器无需任何专业硬件设备

紧急缓解措施安全团队应立即采取以下防护措施：1.启用TPM+PIN预启动认证：最有效的防御手段，防止TPM在任何被篡改的启动序列中释放VMK；2.部署KB5025885更新：该更新将启动管理器签名迁移至新版Windows UEFI CA 2023证书，并引入撤销控制，彻底消除降级攻击路径；3.验证启动管理器证书：挂载EFI分区，使用sigcheck工具确认active bootmgfw.efi是否由CA 2023签名，而非旧版PCA 2011；4.高安全环境特殊处理：对于无法强制实施预启动认证的高安全工作负载，考虑移除WinRE恢复分区，最小化此类攻击的暴露面。
目前BitUnlocker的PoC已在GitHub公开，这意味着该攻击技术可能很快被广泛利用。企业安全团队应立即：审计所有Windows 11设备的BitLocker配置加速推进CA 2023证书迁移计划对仅依赖TPM保护的系统进行紧急加固，添加PIN验证
特别提醒：即使已安装所有安全补丁，只要系统仍信任PCA 2011证书，且未启用PIN保护，就可能遭受此类攻击。
资讯来源：Intrinsec Research

[培训]《冰与火的战歌：Windows内核攻防实战》！从零到实战，融合AI与Windows内核攻防全技术栈，打造具备自动化能力的内核开发高手。

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-291214.htm