新工具可绕过 Windows 十一加密,企业需核查配置
尽管微软已于2025年7月通过“补丁星期二”修复了相关漏洞,但安全研究人员近日发布的新工具"BitUnlocker"(比特解锁器)仍能成功绕过Windows 11系统的驱动器加密。该攻击的前提是攻击者必须拥有对目标计算机的物理访问权限,但这并未降低其潜在风险,反而促使安全专家紧急呼吁企业重新审视现有的BitLocker(比特锁定器)配置策略。
这一攻击手法的核心在于利用了已知的CVE-2025-48804漏洞。该漏洞Zui初由微软内部“安全测试与进攻研究”团队(STORM)发现,并由安全公司Intrinsec证实,在特定条件下攻击依然可行。攻击者利用的是“安全启动”(Secure Boot)机制与旧版签名证书之间的交互缺陷:系统启动时会验证Windows引导管理器的真实性,却未严格检查文件的具体版本号。
具体而言,许多设备仍默认信任过时的"Microsoft Windows PCA 2011"(微软Windows PCA 2011)证书。这使得攻击者能够加载一个较旧且存在漏洞的引导管理器,即便系统已安装了Zui新的安全更新。实施此类攻击无需特殊硬件或深层系统修改,仅需一个USB闪存驱动器或PXE启动服务器即可轻松完成。
TPM单重防护成Zui大软肋
在受影响的系统中,仅依赖可信平台模块(TPM)进行保护的设备首当其冲。在此类配置下,一旦系统将启动过程判定为可信,TPM便会自动释放解密密钥,导致加密形同虚设。相比之下,那些在启动前强制要求输入PIN码的配置能有效阻断此类攻击。此外,已升级至新版"Windows UEFI CA 2023"(Windows UEFI CA 2023)证书的系统也具备更强的防御能力。
鉴于德国及欧洲地区企业对数据主权与合规性的高标准要求,此次事件在德语区引发了广泛关注。安全专家强烈建议企业立即部署微软补丁KB5025885,并全面核查引导管理器证书的有效性。同时,应尽快将TPM保护模式升级为"TPM加PIN"的双重验证机制,以构建更坚固的防御防线。
| 配置类型 | 攻击风险等级 | 关键特征 |
|---|---|---|
| 仅TPM保护 | 极高 | 自动释放密钥,无物理交互验证 |
| TPM + PIN | 低 | 启动前需人工输入密码 |
| 使用2023新版证书 | 低 | 已修复旧版证书信任链漏洞 |
面对日益复杂的物理安全威胁,国内企业在部署终端加密方案时,不应仅满足于开启默认保护功能。此次事件警示我们,单纯依赖硬件模块的自动信任机制存在显著盲区,必须将“多因素认证”理念深度融入启动流程,通过软件补丁与策略配置的双重加固,确保数据资产在物理接触场景下的。