BitLocker беше пробит за 5 минути – дори на обновения Windows 11

Нов инструмент, наречен BitUnlocker позволява декриптиране на томове с BitLocker криптиране на машини с Windows 11, на които е инсталирана най-новата версия на операционната система за по-малко от 5 минути. Изследователи от компанията Intrinsec разработиха работещ PoC (действащ прототип за downgrade-атака – атака с връщане към стара уязвима версия на зареждащия модул), която експлоатира пролуката между инсталирането на кръпката и оттеглянето на стария сертификат за подпис. На атакуващия е достатъчен физически достъп до компютъра и флашка.

В основата на атаката лежи уязвимостта CVE-2025-48804 – една от четирите критични уязвимости от типа „нулев ден“, открити от вътрешния екип на Microsoft STORM и отстранени в рамките на Patch Tuesday през юли 2025 година. Според данни на Intrinsec уязвимостта се намира в средата за възстановяване на Windows (WinRE) и е свързана с обработката на SDI-файлове (System Deployment Image). Зареждащият модул приема истинския WIM образ за проверка на целостта, но едновременно с това позволява добавянето на втори образ в таблицата с данни на SDI, контролиран от атакуващия. В резултат на това зареждащият модул проверява един WIM, а се зарежда от друг – съдържащ модифициран WinRE, който отваря командния ред при вече декриптиран и монтиран том.

Microsoft пусна коригиран файл bootmgfw.efi чрез Windows Update през юли 2025 година, но един пач не е достатъчен. Проблемът е, че Secure Boot проверява сертификата за подпис на двоичния файл, а не номера на версията му.

Остарелият сертификат Microsoft Windows PCA 2011, с който са били подписани всички зареждащи модули до юли 2025 година, все още се счита за доверен в базите на Secure Boot на практически всички работещи машини – с изключение на онези, на които е извършена чиста инсталация на Windows след началото на тази година. Microsoft не може да оттегли масово PCA 2011: това ще засегне широк спектър от легитимни подписани файлове. В резултат на това уязвимият bootmgfw.efi с подпис PCA 2011 остава напълно валиден от гледна точка на Secure Boot.

Злоумишленикът подготвя модифициран BCD файл, сочещ към подменения SDI, и зарежда стария уязвим зареждащ модул с подпис PCA 2011 чрез USB или PXE. Целевата машина го приема без отклонения, а доверен платформен модул (TPM) издава master-key на тома BitLocker (VMK) без да се задействат каквито и да било предупреждения: измерванията на регистрите PCR 7 и 11 остават валидни при доверен сертификат PCA 2011. След това системният том се отваря напълно декриптиран.

Напълно уязвими са компютрите, на които BitLocker работи само с TPM без ПИН код, а Secure Boot все още съдържа в списъка с доверени сертификати PCA 2011.

Компютрите с настройка TPM + ПИН код са защитени, тъй като TPM няма да разкрие VMK без взаимодействие с потребителя на етапа на автентификация преди зареждане. Защитени са и системите, които са завършили миграцията чрез актуализацията KB5025885 към сертификат Windows UEFI CA 2023.

Службите за информационна сигурност трябва незабавно да включат предварителна автентификация TPM + ПИН-код, както и да инсталират актуализацията KB5025885, която прехвърля подписа на зареждащия модул към CA 2023 и въвежда механизми за отмяна, блокиращи атака за понижаване на версията. С помощта на инструмента sigcheck се препоръчва да се уверите, че зареждащият модул е подписан с сертификат CA 2023, а не с остарялия PCA 2011. На критично важни работни места, където предварителната автентификация е невъзможна, е добре да се премахне разделът за възстановяване WinRE. Администраторите на корпоративни мрежи трябва да ускорят миграцията към CA 2023, преди злонамерените лица да започнат да прилагат тази техника в целеви атаки.