2026-05-14 11:52:34 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档披露针对Windows11BitLocker加密的新型降级攻击工具BitUnlocker，利用CVE-2025-48804漏洞和未吊销的PCA2011证书，可在5分钟内物理破解已打补丁设备的加密卷。攻击通过篡改启动流程绕过安全启动验证，使TPM释放卷主密钥。缓解措施包括启用TPM+PIN预启动认证、部署KB5025885更新迁移至CA2023证书、验证启动管理器签名及移除WinRE分区。 综合评分： 87 文章分类： 漏洞分析,威胁情报,解决方案,数据安全,终端安全

cover_image

【安全圈】Windows 11遭新型BitUnlocker降级攻击：5分钟内可解密加密磁盘

安全圈

2026年5月13日 19:01 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

一款名为BitUnlocker的新工具曝光了针对微软BitLocker加密的降级攻击手法。攻击者通过利用补丁更新与证书吊销之间的关键时间差，可在5分钟内物理破解已打补丁的Windows 11设备上的加密卷。该攻击源于微软安全测试与攻防研究团队（STORM）发现的四个关键0Day漏洞之一（CVE-2025-48804），已于2025年7月补丁星期二修复。

漏洞原理分析

根据Intrinsec研究，该漏洞存在于Windows恢复环境（WinRE）中，涉及系统部署映像（SDI）文件机制。当启动管理器加载SDI引用的合法WIM（Windows映像格式）文件进行完整性验证时，会同时允许将攻击者控制的第二个WIM文件附加到SDI的blob表中。启动管理器虽验证第一个（合法）WIM文件，实际却从包含修改版WinRE镜像的第二个WIM启动，该镜像会在BitLocker卷已解密挂载状态下直接启动cmd.exe。

微软虽在2025年7月通过Windows Update为所有受支持系统提供了修补后的bootmgfw.efi文件，但仅靠补丁无法彻底消除攻击面。

攻击技术细节

BitUnlocker攻击得以实现的关键弱点并非补丁缺失，而是未吊销的签名证书。安全启动（Secure Boot）验证的是二进制文件的签名证书而非版本号。在2025年7月修复前用于签署所有启动管理器的旧版Microsoft Windows PCA 2011证书，仍被当前绝大多数设备的Secure Boot数据库信任（除非设备在2026年初之后执行过全新Windows安装）。

这意味着采用PCA 2011签名的补丁前版本bootmgfw.efi，即使存在漏洞仍会被Secure Boot视为完全有效。微软大规模吊销PCA 2011证书将面临重大运营挑战，因其会影响生态系统中大量合法签名的二进制文件。

研究人员基于STORM原始研究和早期”bitpixie”降级漏洞利用成果，开发出可实际运行的PoC，将这些弱点串联成5分钟内完成的攻击链。攻击者仅需物理接触目标工作站、配备U盘或PXE启动服务器，无需专用硬件即可实施攻击。

攻击流程与影响范围

攻击步骤如下：

攻击者准备指向篡改SDI的修改版BCD（启动配置数据）文件
通过USB或PXE启动提供旧版存在漏洞的PCA 2011签名启动管理器
目标设备加载补丁前版本的启动管理器（可通过Secure Boot验证）
TPM在PCR测量值7和11仍通过PCA 2011证书验证的情况下，静默释放BitLocker卷主密钥（VMK）
最终获得已完全解密挂载OS卷的命令提示符

受影响系统包括：

仅配置TPM（无PIN）且Secure Boot仍信任PCA 2011证书的BitLocker设备
未完成KB5025885更新迁移（未采用新版Windows UEFI CA 2023证书签名）的系统

具备以下配置的设备可防御此攻击：

启用TPM+PIN预启动认证（需用户交互才能解封VMK）
已完成KB5025885更新（启动管理器签名迁移至CA 2023证书）

缓解措施

安全团队应立即采取以下措施：

启用TPM+PIN预启动认证

：最有效的防护措施，可阻止TPM在任何被操控的启动序列中释放VMK
部署KB5025885更新

：将启动管理器签名迁移至CA 2023证书并引入吊销控制机制
验证启动管理器证书

：挂载EFI分区并使用sigcheck工具确认当前bootmgfw.efi由CA 2023而非PCA 2011签署
移除WinRE恢复分区

：对于无法强制执行预启动认证的高安全负载，可最小化此类漏洞的攻击面

目前该PoC已在GitHub公开，企业需尽快审计BitLocker配置并加速CA 2023迁移，以防攻击者将此技术用于针对性入侵。

END

阅读推荐

【安全圈】警惕！你的蓝牙可能正被监听改一个设置就能有效防护

【安全圈】谷歌确认黑客利用 AI 生成零日漏洞攻击可提升攻击速度

【安全圈】“Crimenetwork” 平台关停后死灰复燃，再遭德国当局捣毁

【安全圈】cPanel新漏洞可能导致文件泄露与远程代码执行

安全圈

←扫码关注我们

网罗圈内热点专注网络安全

实时资讯一手掌握！

好看你就分享有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈《【安全圈】Windows 11遭新型BitUnlocker降级攻击：5分钟内可解密加密磁盘》