Исследователи из компании Intrinsec представили инструмент BitUnlocker, который позволяет расшифровывать тома, защищенные BitLocker, на модифицированных системах Windows 11 за менее чем пять минут. Уязвимость, на которой основан этот инструмент, была выявлена в июле 2025 года и связана с downgrade-атакой на старую версию загрузчика.
- Инструмент BitUnlocker расшифровывает тома BitLocker за 5 минут.
- Уязвимость CVE-2025-48804 была исправлена в рамках Patch Tuesday в июле 2025 года.
- Злоумышленникам необходим физический доступ к машине и USB-накопитель.
- Уязвимость связана с обработкой SDI-файлов в среде восстановления Windows.
- Microsoft выпустила патч, однако проблема остается из-за устаревшего сертификата подписи.
Суть атаки и уязвимость
Атака основана на уязвимости CVE-2025-48804, которая была обнаружена командой Microsoft STORM. Эта уязвимость позволяет злоумышленнику загружать модифицированный образ, который обходит проверки целостности. В результате, при загрузке системы, BitLocker может быть расшифрован без каких-либо предупреждений.
Рекомендации для защиты
Эксперты настоятельно рекомендуют пользователям и службам информационной безопасности принять меры по защите:
- Включить предзагрузочную аутентификацию TPM с использованием ПИН-кода.
- Установить обновление KB5025885, чтобы перейти на сертификат Windows UEFI CA 2023.
- Проверить подпись загрузчика с помощью утилиты sigcheck.
- Удалить раздел восстановления WinRE на критически важных рабочих станциях.
Заключение
Уязвимость, связанная с BitLocker, представляет собой серьезную угрозу для безопасности данных на системах Windows 11. Пользователи должны предпринять необходимые действия для защиты своих систем, прежде чем злоумышленники начнут активно использовать эту технику в атаках.