Даже на обновлённой Windows 11 всего за 5 минут взломали BitLocker

Исследователи Intrinsec создали инструмент BitUnlocker. Он способен расшифровать защищённые BitLocker диски на полностью пропатченных системах Windows 11 менее чем за пять минут.

Для проведения downgrade-атаки, эксплуатирующей разрыв между установкой июльского патча 2025 года и отзывом старого сертификата, злоумышленнику требуется лишь физический доступ к устройству и USB-накопитель.

По словам экспертов по кибербезопасности, в основе атаки лежит уязвимость CVE-2025-48804 — одна из серии критических уязвимостей нулевого дня, обнаруженных внутренней командой Microsoft STORM и закрытых в рамках «вторника исправлений» в июле 2025 года.

Проблема, обнаруженная в среде восстановления Windows (WinRE), связана с некорректной обработкой файлов системного образа развертывания (SDI). Загрузчик принимает легитимный WIM-образ для проверки целостности, но при этом позволяет атакующему внедрить в таблицу данных второй, модифицированный образ.

В результате сверяется один файл, а загружается другой, содержащий скомпрометированную среду WinRE, которая открывает командную строку с уже смонтированным и расшифрованным томом.

Хотя Microsoft выпустила исправленный загрузчик bootmgfw.efi через Центр обновлений еще в середине прошлого года, одного патча оказалось недостаточно . Ключевая проблема кроется в архитектуре безопасной загрузки: она проверяет не номер версии файла, а лишь сертификат его подписи.

Доверенный практически на всех существующих устройствах старый сертификат Microsoft Windows PCA 2011 не был отозван массово из-за операционных рисков, которые повлекла бы блокировка огромного числа легитимно подписанных файлов. Следовательно, старый уязвимый загрузчик с подписью PCA 2011 по-прежнему воспринимается системой как полностью действительный.

Злоумышленник, используя USB-накопитель, подменяет конфигурацию загрузки так, чтобы передать системе устаревший загрузчик с PCA 2011. Поскольку этот сертификат всё ещё находится в доверенном списке, модуль TPM без каких-либо предупреждений выдает главный ключ шифрования тома, так как все измерения целостности на регистрах PCR остаются корректными. В результате системный том открывается полностью расшифрованным.

Наибольшему риску подвержены системы, где BitLocker работает в режиме «только TPM» без предзагрузочного ПИН-кода, а в настройках Secure Boot всё еще значится старый сертификат.

Машины с конфигурацией TPM + ПИН-код остаются защищенными, поскольку TPM не разблокирует ключ без взаимодействия с пользователем. Также в безопасности находятся системы, завершившие миграцию на сертификат нового поколения Windows UEFI CA 2023 в соответствии с процедурой обновления KB5025885.

Для защиты специалистам по безопасности в первую очередь рекомендуется активировать предзагрузочную аутентификацию с ПИН-кодом как наиболее надёжный способ блокировки атаки без вмешательства в загрузчик. 
Далее необходимо внедрить обновление KB5025885, которое переводит подпись загрузчика на сертификат 2023 года и запускает механизмы отзыва старых доверенных компонентов.

Убедиться, что загрузчик подписан центром сертификации CA 2023, а не PCA 2011, можно с помощью утилиты sigcheck. В исключительных случаях, когда предзагрузочная аутентификация неприменима, на критически важных рабочих станциях стоит рассмотреть полное удаление раздела восстановления WinRE.