在2025年的Black Hat USA和DEF CON 33安全会议上,Microsoft的安全测试与攻击研究(STORM)团队披露了Windows恢复环境(WinRE)中的多个漏洞。
这类漏洞可能被借助来绕过BitLocker加密,并提取受保护的用户数据。
BitLocker是Windows中用于保护静态数据的全卷加密(FVE)功能,也是少数可以抵御物理攻击的数据保护功能之一。
在BitLocker推出后,Microsoft对WinRE进行了多项更改,以确保即便在BitLocker加密的Windows操作系统驱动器没办法访问的状况下,仍然可以进行Windows恢复,这类手段包含:
将WinRE.wim从加密的操作系统卷移动到未加密的恢复分区,以便在问题时可以访问;
推行可信WIM启动,以在自动解锁操作系统卷之前验证映像的完整性;
与增加在用命令提示符等高风险工具时触发的卷重新锁定机制,需要BitLocker恢复密钥才能恢复访问。
STORM团队发现,在可信WIM启动验证通过后,WinRE处于自动解锁状况,并会从未受保护的分区(如EFI系统分区和恢复卷)分析文件,并辨别出WinRE及其启动过程中的多个漏洞。
为了降低攻击面,Microsoft建议启用TPM并结合PIN进行预启动身份验证,从而将风险仅限于TPM,并减少对自动解锁机制的依靠,Microsoft还建议启用KB5025885中的REVISE缓解手段,以预防降级攻击。
这类漏洞的编号分别为CVE|2025|48800、CVE|2025|48003、CVE|2025|48804和CVE|2025|48818,已于2025年7月的Patch Tuesday更新中修复。
因为补丁是累积的,用户可以下载并安装2025年8月发布的最新Win11(KB5063878、KB5063875)和Win10(KB5063709、KB5063877、KB5063871、KB5063889)补丁,以确保系统安全。
