今朝来看,这一进击链条的最大年夜“缓冲”仍是其必须具备物理接触设备的前置前提。对于开启了 TPM 加上预启动 PIN(pre-boot PIN)设备的体系,BitUnlocker 这一类进击将掉去发挥空间:TPM 在释放密钥前须要额外的人工输入步调,只要 PIN 未泄漏,物理进击者难以完成整套降级过程并拿到解密密钥。
这一进击与编号为 CVE-2025-48804 的安然马脚有关,该马脚位于 Windows 恢复情况(Windows Recovery Environment)和体系安排镜像(System Deployment Image)的处理机制中,微软已在 2025 年 7 月宣布补丁进行修复。不过,研究人员指出,即便马脚被修补,只要旧证书依然被体系信赖,就仍可能经由过程降级路径被绕过。
从进击前提看,BitUnlocker 并非长途进击对象,进击者必须起首获得目标设备的物理拜访权限。例如,进击者可应用一个预先预备好的 U 盘,在开机阶段向 Windows 引导治理器供给一个格局和签名都完全合法的 Windows 映像(WIM)文件以经由过程完全性检查,同时在个中附带恶意负载。体系在验证经由过程“干净”的映像文件后,会持续无前提启动个中的恶意代码,从而获得对已解密卷的拜访权。
真正的关键在于它应用了证书链中的“回退”空间。当前,微软早期的 Windows PCA 2011 根证书仍被 Secure Boot 全局信赖,这为进击者供给了降级空间:他们可以加载一个旧版本、包含已知马脚的引导治理器二进制文件,而该旧版文件依然可以或许经由过程 Secure Boot 的签名验证,被体系算作合法组件履行。
对于只依附默认 TPM 设备来应用 BitLocker 的通俗 PC 用户和发烧友而言,这一进击是一个明显的警示。当被降级的旧版引导治理器运行时,TPM 依旧会按照既有流程对启动测量值进行验证,并基于仍受信赖的 PCA 2011 证书进行比对。因为在其视角下体系情况“看起来正常”,TPM 会毫无异常地解封 BitLocker 卷主密钥(Volume Master Key),全部过程不会触发任何报警机制。
此外,那些已经完成 KB5025885 更新,并将 Secure Boot 信赖链迁徙至新版 Windows UEFI CA 2023 数字证书的设备,也根本可以阻断这一降级路径。在这种设备下,依附 PCA 2011 的旧版启动组件将不再被信赖,从而无法被用作进击进口。研究人员强调,用户和企业应尽快核查自身体系是否完成了相干更新,并在前提许可的情况下启用预启动 PIN 等额外保护办法,以降低物理进击带来的风险。
懂得更多:
https://github.com/garatc/BitUnlocker
发表评论 取消回复