文章总结： 一款名为BitUnlocker的工具揭示针对Windows11BitLocker加密的降级攻击，利用CVE-2025-48804漏洞与未撤销的MicrosoftWindowsPCA2011签名证书，通过物理访问在5分钟内解密已打补丁系统的磁盘。该攻击通过加载篡改的启动管理器绕过安全启动验证，仅影响仅使用TPM保护的系统，配置TPM+PIN或部署KB5025885更新迁移至CA2023证书的系统可免疫。建议企业启用TPM+PIN预启动认证、部署KB5025885更新并验证启动管理器证书以缓解风险。 综合评分： 88 文章分类： 漏洞分析,终端安全,漏洞预警,安全建设,应急响应

针对 Windows 11 的新型 BitUnlocker 降级攻击可在 5 分钟内访问加密磁盘

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月12日 19:22 北京

在小说阅读器读本章

去阅读

一款名为 BitUnlocker 的新工具揭示了一种针对微软 BitLocker 加密的实用降级攻击，攻击者可以利用修补和证书吊销之间的关键漏洞，在 5 分钟内，通过物理访问的方式解密已打补丁的 Windows 11 计算机上的受保护卷。

此次攻击源于 CVE-2025-48804，这是微软安全测试与攻击研究 (STORM) 团队发现的四个关键零日漏洞之一，并在 2025 年 7 月的“补丁星期二”活动中进行了修复。

根据 Intrinsec 的研究，该漏洞存在于Windows 恢复环境 (WinRE)中，并且涉及系统部署映像 (SDI) 文件机制。

当启动管理器加载 SDI 引用的合法 WIM（Windows 映像格式）文件以进行完整性验证时，它同时允许将第二个由攻击者控制的 WIM 附加到 SDI 的 blob 表中。

启动管理器验证了第一个（合法的）WIM，但实际上是从第二个启动，该第二个启动包含一个修改过的WinRE映像，该映像可以启动时cmd.exeBitLocker卷已被解密并挂载。

微软bootmgfw.efi于 2025 年 7 月通过 Windows 更新为所有受支持的系统发布了已修补的二进制文件。但是，仅靠补丁并不能消除攻击面。

BitUnlocker 降级攻击 Windows 11

BitUnlocker 攻击的关键弱点不是缺少补丁，而是未撤销的签名证书。

安全启动验证的是二进制文件的签名证书，而不是版本号。在 2025 年 7 月的修复程序发布之前，所有启动管理器都使用旧版 Microsoft Windows PCA 2011 证书进行签名。除非在 2026 年初之后进行了全新的 Windows 安装，否则该证书在当前几乎所有计算机的安全启动数据库中仍然受信任。

这意味着，即使存在漏洞，根据 PCA 2011 签名的预补丁bootmgfw.efi仍被安全启动视为完全有效。

大规模撤销 PCA 2011 对微软来说是一个重大的运营挑战，因为它会影响整个生态系统中各种合法的签名二进制文件。

基于最初的 STORM 研究和之前对“bitpixie”降级漏洞的研究，研究人员开发了一个可行的 PoC，将这些弱点串联起来，在不到五分钟的时间内发起攻击。

据 Intrinsec 称，攻击者只需要对目标工作站进行物理访问，使用 USB 驱动器或 PXE 启动服务器，而无需任何专用硬件。

攻击过程如下：攻击者准备一个修改过的 BCD（启动配置数据）文件，指向一个被篡改的 SDI，并通过 USB 或 PXE 启动提供一个旧的、易受攻击的 PCA 2011 签名的启动管理器。

目标机器加载了补丁前的启动管理器，正常通过了安全启动验证。

由于受信任的 PCA 2011 证书下 PCR 测量值 7 和 11 仍然有效，TPM 会在不触发任何警报的情况下释放 BitLocker 卷主密钥。结果：打开命令提示符，操作系统卷已完全解密并挂载。

仅运行 TPM BitLocker（没有 PIN）且其安全启动数据库仍然信任 PCA 2011 的系统完全易受攻击。

配置了 TPM + PIN 的机器受到保护，因为在启动前身份验证期间，如果没有用户交互，TPM 不会解封 VMK。

已完成KB5025885 迁移（将启动管理器签名移至更新的 Windows UEFI CA 2023 证书）的系统也能免受此降级路径的影响。

缓解措施

安保团队应立即采取以下措施：

• 启用 TPM + PIN 预启动身份验证——这是最有效的控制措施，可防止 TPM 在任何被篡改的启动序列期间释放 VMK。
• 部署 KB5025885 — 此 Microsoft 更新将启动管理器签名迁移到 CA 2023，并引入撤销控制，从而消除降级路径。
• 验证启动管理器证书——挂载 EFI 分区并使用sigcheck它来确认活动证书bootmgfw.efi是根据 CA 2023 签名的，而不是根据旧版 PCA 2011 签名的。
• 在无法强制执行启动前身份验证的高安全性工作负载中，删除 WinRE 恢复分区，从而最大限度地减少此类漏洞利用的攻击面。

PoC 已在 GitHub 上公开提供，这促使企业防御者更加迫切地需要审核其 BitLocker 配置，并在机会主义攻击者利用此技术进行有针对性的入侵之前加快 CA 2023 迁移。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《针对 Windows 11 的新型 BitUnlocker 降级攻击可在 5 分钟内访问加密磁盘》