BitUnlocker разобличава слабост в BitLocker — пълен достъп за минути

Какво се случи

Екипът на Intrinsec демонстрира работещ инструмент, наречен BitUnlocker, който позволява пълно компрометиране на BitLocker-защитени томове на съвременни Windows 11 машини за по-малко от пет минути. Единственото условие е физически достъп до целевата система и стандартна USB флашка.

Принципът на атаката

Атаката е класически downgrade (понижаване на версията): хардуерът се заставя да зареди по-стара, уязвима версия на системния буутлоудър. Злоупотребата използва прозорец, в който софтуерният пач вече е публикуван, но старият дигитален сертификат все още е валиден в базата на Secure Boot. В следствие системата проверява легитимния файл, но всъщност зарежда модифицирано WinRE изображение, което стартира команден ред с вече отключен и монтиран диск.

Технически подробности

Уязвимостта е свързана с CVE-2025-48804 и засяга средата за възстановяване на Windows (WinRE), по-специално обработката на SDI (System Deployment Image) и WIM изображения. Архитектурна грешка позволява едновременно прикачване на модифицирано изображение към легитимно такова. Въпреки че Microsoft публикува пач за bootmgfw.efi, Secure Boot проверява само валидността на сертификата, не и версията на файла. Старият сертификат Microsoft Windows PCA 2011 остава валиден в повечето Secure Boot бази данни, което позволява на компрометирания буутлоудър да бъде възприет за легитимен.

Как протича атаката в практиката

Нападателят създава изменен BCD (Boot Configuration Data), сочещ към фалшиво SDI изображение, подготвя USB с уязвимия буутлоудър и кара системата да зареди от него. Дънната платка, доверявайки се на валидния сертификат, стартира стария буутлоудър. TPM чипът предава главния ключ за декриптиране на обема (VMK) без аларма; регистрите за измерване (PCR 7 и PCR 11) остават непроменени, което прави атаката невидима за операционната система.

Кой е уязвим и кой е защитен

• Уязвими са системите, които разчитат само на автоматично разпознаване от TPM без предварителен PIN (TPM-only auto-unlock).
• Защитени са потребителите с двуфакторна предстартираща авторизация (TPM + PIN), защото TPM няма да разкрие ключа без въвеждане на ПИН на клавиатурата.
• Системите, преминали към новия сертификат Windows UEFI CA 2023 чрез инсталиране на пакета KB5025885, също са защитени от този вектор.

Препоръчани мерки за защита

ИТ специалистите и системните администратори съветват незабавно да се предприемат следните стъпки:

• Активиране на TPM + PIN (двуфакторно предстартиращо удостоверяване) за всички потребителски и служебни машини.
• Инсталиране на KB5025885, който подпомага миграцията към новия сертификат и затваря възможностите за връщане към по-стари, уязвими версии.
• Използване на инструмента sigcheck за проверка дали буутлоудърите са подписани с Windows UEFI CA 2023.
• За критични сървъри или работни станции, където въвеждането на PIN при всеки рестарт не е възможно, разглеждане на вариант за пълно премахване на дяла WinRE като радикална, но сигурна мярка.

Какво означава това за потребителите и компаниите

Пробивът подчертава колко важно е комбинирането на хардуерна защита (TPM) с процедурни мерки (предстартиращ PIN) и поддържане на актуални сертификати и пачове. Докато Microsoft не може бързо да отмени стария глобален сертификат без сериозни странични ефекти, администраторите трябва да прилагат локални и оперативни контроли, за да намалят риска.

За да намалите риска от подобни атаки: активирайте TPM+PIN, инсталирайте препоръчаните пачове и проверете подписите на зареждащите файлове. Това ще ограничи възможността за лесно и бързо декриптиране с инструменти като BitUnlocker.