Специалисты по кибербезопасности обнаружили новый вектор атаки, который позволяет обойти шифрование BitLocker в операционной системе Windows 11 менее чем за пять минут. Уязвимость, получившая идентификатор CVE-2025-48804, использует незаблокированный устаревший сертификат Microsoft Windows PCA 2011, который до сих пор присутствует в базе данных безопасной загрузки (Secure Boot) почти на всех активных устройствах. Эксплойт, названный BitUnlocker, был впервые задокументирован командой Microsoft STORM в июле 2025 года. Несмотря на выпущенный патч, он не устраняет проблему полностью для множества систем.
В чём суть атаки?
Злоумышленнику требуется физический доступ к целевому устройству, которое использует конфигурацию BitLocker только с доверенным платформенным модулем (TPM - аппаратный компонент, хранящий ключи шифрования). Для запуска эксплойта достаточно обычного USB-накопителя или загрузки по сети через протокол PXE (среда загрузки без диска). Исследователь безопасности Кассиус Гарат опубликовал код, который опирается на модифицированный файл данных конфигурации загрузки (BCD - структура, определяющая порядок запуска системы). Этот перенаправляет ввод среды восстановления Windows (WinRE - специальный режим для устранения неполадок) на подменённый образ системного развертывания (SDI - файл, содержащий среду загрузки).
Как именно происходит обход?
Во время загрузки система обращается к старому загрузчику, подписанному сертификатом PCA 2011. Загрузчик проверяет первый легитимный образ Windows Imaging Format (WIM - формат образов системы), но одновременно запускается и второй, атакующий WIM, скрытый внутри образа SDI. Этот вредоносный образ содержит изменённую среду восстановления, которая выполняет команду в терминале. Так как старый сертификат всё ещё считается доверенным, модуль TPM выдаёт ключи BitLocker без каких-либо предупреждений. Регистры конфигурации платформы (PCR - значения, фиксирующие состояние загрузки) номер 7 и 11 остаются корректными, поэтому ключи расшифровываются. Через несколько минут перед злоумышленником открывается окно терминала с доступом к расшифрованному тому операционной системы.
Корень проблемы кроется в решении Microsoft не отзывать массово сертификат PCA 2011. Компания опасалась серьёзных сбоев в корпоративных сетях по всему миру, которые могла бы вызвать такая блокировка. Поэтому обновлённые машины получили исправленный загрузчик, но старый сертификат остался действующим в базе данных безопасной загрузки почти всех устройств. Это позволяет загружать уязвимый загрузчик без каких-либо сигналов тревоги. Для перенаправления последовательности загрузки в атаке используются команды в командной строке восстановления, например, bcdedit /export BCD_modded и последующее изменение пути к загрузчику Winload.efi на несуществующий файл, после чего через найденный идентификатор GUID перенаправляется образ SDI.
Последствия атаки могут быть самыми серьёзными. BitLocker считается одной из ключевых защитных мер для данных на ноутбуках и стационарных компьютерах в корпоративном секторе. Утечка ключей шифрования из-за физического доступа позволяет злоумышленнику получить полный доступ к конфиденциальной информации, в том числе к коммерческим тайнам, личным данным сотрудников и клиентов, а также к учётным записям. Атака не требует высокой квалификации - все необходимое уже опубликовано в открытом доступе. Это означает, что ею могут воспользоваться не только профессиональные хакеры, но и менее подготовленные злоумышленники.
Чтобы защитить системы, системным администраторам необходимо принять несколько мер:
- Следует включить аутентификацию по PIN-коду в дополнение к TPM. Конфигурация "TPM плюс PIN" не позволяет модулю автоматически расшифровывать ключи без ввода пользователем кода перед загрузкой. Это полностью блокирует эксплойт, так как он рассчитан на автоматическое получение ключей.
- Организации должны обновить свои загрузчики до сертификата Windows UEFI CA 2023. После этого необходимо явно отозвать сертификат PCA 2011 через базу данных DBX (реестр отозванных сертификатов для безопасной загрузки). Подробная инструкция доступна в бюллетене Microsoft KB5025885.
- Рекомендуется изменить политику регистров PCR: отойти от настроек по умолчанию и установить, например, значения 0, 2 или 4. Это позволит системе обнаружить несанкционированные изменения пути загрузки и нейтрализовать подход с модифицированным файлом SDI.
В итоге уязвимость CVE-2025-48804 демонстрирует, как даже своевременные патчи могут быть неполными из-за компромиссов между безопасностью и стабильностью инфраструктуры. Microsoft выпустила исправление, но не решилась на радикальное удаление старого сертификата. Теперь каждое предприятие должно самостоятельно оценить риски и применить дополнительные меры защиты, чтобы обезопасить зашифрованные конечные точки от атак понижения. Игнорирование этой проблемы может привести к массовым утечкам данных, особенно в условиях, когда у злоумышленников есть физический доступ к устройствам. Рекомендованные корректировки не требуют больших затрат, но кардинально повышают уровень защиты.
Ссылки
- https://github.com/garatc/BitUnlocker
- https://www.cve.org/CVERecord?id=CVE-2025-48804
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-48804
