文章总结： 安全研究显示BitUnlocker工具可利用CVE-2025-48804及未吊销的PCA2011证书，5分钟内绕过已打补丁的Windows11BitLocker加密。攻击需物理访问但无需专业设备。建议立即启用TPM+PIN预启动认证、部署KB5025885更新迁移至CA2023证书、验证启动管理器签名并审计设备配置。 综合评分： 88 文章分类： 漏洞分析,终端安全,数据安全,渗透测试,安全运营

打了补丁也没用？一张旧证书，让BitLocker加密5分钟沦陷

看雪学苑 看雪学苑

看雪学苑

2026年5月13日 18:10 上海

在小说阅读器读本章

去阅读

漏洞曝光：5分钟绕过BitLocker加密防线

安全研究机构Intrinsec近日发布重磅研究，一款名为BitUnlocker的工具可在5分钟内突破Windows 11的BitLocker全盘加密保护，即使目标系统已安装微软2025年7月的安全补丁。该攻击利用的是CVE-2025-48804漏洞，这是微软STORM团队去年发现并修补的四个零日漏洞之一。

这并非传统意义上的”未打补丁”问题，而是源于一个关键安全缺口：虽然微软已发布修复程序，但用于签署旧版启动管理器的PCA 2011证书仍未被吊销，导致攻击者可通过降级攻击绕过安全机制。

攻击原理：证书信任链的致命漏洞

BitUnlocker攻击的核心在于Windows启动环境(WinRE)的SDI文件机制缺陷与安全启动证书信任问题的组合利用：

• 漏洞根源：当启动管理器加载SDI文件引用的合法WIM镜像进行完整性验证时，会同时允许攻击者控制的第二个WIM镜像附加到SDI的blob表中；
• 验证与执行分离：启动管理器仅验证第一个合法WIM，但实际启动的却是第二个被篡改的WinRE镜像，该镜像会直接启动命令提示符，此时BitLocker卷已被解密并挂载；
• 证书降级关键：安全启动验证的是二进制文件的签名证书而非版本号。几乎所有在用设备的安全启动数据库仍信任PCA 2011证书，使得攻击者可使用旧版、易受攻击但仍受信任的bootmgfw.efi引导程序；
• TPM密钥释放：在PCA 2011证书信任环境下，PCR 7和11测量值保持有效，TPM会正常释放BitLocker卷主密钥(VMK)，无任何安全警报。

三、攻击条件与影响范围

攻击者仅需满足三个条件：

• 对目标设备的物理访问权限
• 一个USB驱动器或PXE启动服务器
• 无需任何专业硬件设备

四、紧急缓解措施

安全团队应立即采取以下防护措施：

1.启用TPM+PIN预启动认证：最有效的防御手段，防止TPM在任何被篡改的启动序列中释放VMK；

2.部署KB5025885更新：该更新将启动管理器签名迁移至新版Windows UEFI CA 2023证书，并引入撤销控制，彻底消除降级攻击路径；

3.验证启动管理器证书：挂载EFI分区，使用sigcheck工具确认active bootmgfw.efi是否由CA 2023签名，而非旧版PCA 2011；

4.高安全环境特殊处理：对于无法强制实施预启动认证的高安全工作负载，考虑移除WinRE恢复分区，最小化此类攻击的暴露面。

目前BitUnlocker的PoC已在GitHub公开，这意味着该攻击技术可能很快被广泛利用。企业安全团队应立即：

• 审计所有Windows 11设备的BitLocker配置
• 加速推进CA 2023证书迁移计划
• 对仅依赖TPM保护的系统进行紧急加固，添加PIN验证

特别提醒：即使已安装所有安全补丁，只要系统仍信任PCA 2011证书，且未启用PIN保护，就可能遭受此类攻击。

资讯来源：Intrinsec Research

球分享

球点赞

球在看

点击阅读原文查看更多

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《打了补丁也没用？一张旧证书，让BitLocker加密5分钟沦陷》