Сегодня 03 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → bitunlocker

BitLocker взломали за 5 минут — даже на обновлённой Windows 11

Новый инструмент BitUnlocker позволяет расшифровать тома с шифрованием BitLocker на пропатченных машинах с Windows 11 менее чем за пять минут. Исследователи из компании Intrinsec разработали рабочий PoC — действующий прототип — downgrade-атаки (атаки с откатом на старую уязвимую версию загрузчика), которая эксплуатирует разрыв между установкой патча и отзывом старого сертификата подписи. Атакующему достаточно физического доступа к рабочей станции и USB-накопителя.

 Источник изображения: microsoft.com

Источник изображения: microsoft.com

В основе атаки лежит уязвимость CVE-2025-48804 — одна из четырёх критических уязвимостей нулевого дня, обнаруженных внутренней командой Microsoft STORM и исправленных в рамках Patch Tuesday в июле 2025 года. По данным Intrinsec, уязвимость находится в среде восстановления Windows (WinRE) и связана с обработкой SDI-файлов (System Deployment Image). Загрузчик принимает настоящий WIM-образ для проверки целостности, но одновременно позволяет добавить в таблицу данных SDI второй образ, контролируемый атакующим. В итоге загрузчик проверяет один WIM, а загружается с другого — содержащего модифицированный WinRE, который открывает командную строку при уже расшифрованном и смонтированном томе.

Microsoft выпустила исправленный bootmgfw.efi через Windows Update в июле 2025 года, однако одного патча недостаточно. Проблема в том, что Secure Boot проверяет сертификат подписи двоичного файла, а не его номер версии. Устаревший сертификат Microsoft Windows PCA 2011, которым были подписаны все загрузчики до июля 2025 года, по-прежнему считается доверенным в базах Secure Boot практически всех работающих машин — за исключением тех, на которых выполнена чистая установка Windows после начала 2026 года. Массово отзывать PCA 2011 Microsoft не может: это затронет широкий спектр легитимных подписанных файлов. В результате уязвимый bootmgfw.efi с подписью PCA 2011 остаётся полностью действительным с точки зрения Secure Boot.

Злоумышленник подготавливает модифицированный файл BCD, указывающий на подменённый SDI, и загружает старый уязвимый загрузчик с подписью PCA 2011 через USB или PXE. Целевая машина принимает его без отклонений, и доверенный платформенный модуль (TPM) выдаёт мастер-ключ тома BitLocker (VMK) без срабатывания каких-либо предупреждений: измерения регистров PCR 7 и 11 остаются действительными при доверенном сертификате PCA 2011. Системный том открывается полностью расшифрованным.

Полностью уязвимы машины, на которых BitLocker работает только с TPM без ПИН-кода, а Secure Boot по-прежнему содержит в списке доверенных сертификат PCA 2011. Машины с настройкой TPM + ПИН-код защищены, поскольку TPM не раскроет VMK без взаимодействия с пользователем на этапе предзагрузочной аутентификации. Защищены и системы, завершившие миграцию по обновлению KB5025885 на сертификат Windows UEFI CA 2023.

Службам информационной безопасности следует немедленно включить предзагрузочную аутентификацию TPM + ПИН-код, а также установить обновление KB5025885, которое переводит подпись загрузчика на CA 2023 и вводит механизмы отзыва, блокирующие downgrade-атаку. С помощью утилиты sigcheck рекомендуется убедиться, что загрузчик подписан сертификатом CA 2023, а не устаревшим PCA 2011. На критически важных рабочих местах, где предзагрузочная аутентификация невозможна, стоит удалить раздел восстановления WinRE. Защитникам корпоративных сетей необходимо ускорить миграцию на CA 2023, прежде чем злоумышленники начнут применять эту технику в целевых атаках.


window-new
Soft
Hard
Тренды 🔥
Вопрос передачи доли в Anthropic властям США пока не обсуждался 3 ч.
Microsoft разрабатывала ИИ ОС, отличную от Windows — с глубокой интеграцией Copilot и агентов 8 ч.
Epic Games Store устроил раздачу классической игры I Have No Mouth, and I Must Scream о последних людях на Земле, которых пытает безумный суперкомпьютер 11 ч.
Авторитетный инсайдер опроверг закрытие Obsidian Entertainment и работу студии над новой Fallout 12 ч.
Правительство США снова взломали: хакеры проникли в федеральную платформу для обмена разведданными 12 ч.
Браузер Opera получил продвинутую защиту от ввода вредоносных команд через буфер обмена 13 ч.
ИИ оказался слишком дорогим: компании урезают сотрудникам доступ к ChatGPT и Claude 13 ч.
Студия создателя Deus Ex и System Shock перестанет делать игры — после провала Thick as Thieves в OtherSide осталось меньше десяти человек 13 ч.
Google не смогла отбиться от рекордного штрафа в €4,1 млрд в Европе 14 ч.
Кризис Xbox поставил под угрозу закрытия Obsidian — студию в ответе за Fallout: New Vegas, Pillars of Eternity и South Park: The Stick of Truth 14 ч.
Kioxia приступила к поставкам образцов передовой 332-слойной памяти 3D NAND десятого поколения 17 мин.
Новая статья: Снято в Голливуде? Почему Стэнли Кубрик физически не смог бы подделать лунную походку 6 ч.
В Сингапуре обвинили четыре фирмы в контрабанде подсанкционных чипов NVIDIA в Китай 6 ч.
Новая статья: Обзор Midea VCR V15 EVO ULTRA: я просто хорошо убираю любое помещение 7 ч.
Новый кроссовер R2 вдохнул жизнь в Rivian: продажи превзошли ожидания, прогноз повышен 8 ч.
Philips анонсировала 27-дюймовые игровые мониторы Evnia M4 с тремя режимами работы: 1440p@275 Гц, 1080p@360 Гц и 720p@540 Гц 10 ч.
Anthropic ведёт переговоры с Samsung о создании собственного ИИ-чипа 11 ч.
У Tesla внезапно подскочили продажи электромобилей во втором квартале 12 ч.
Amazon запустила достаточно спутников для запуска конкурента Starlink 14 ч.
ИИ подрывает экологические цели: выбросы углекислого газа у Amazon подскочили на 16 % в 2025 году 14 ч.