Две новые уязвимости в функции шифрования дисков BitLocker от Microsoft могут позволить злоумышленникам обходить средства защиты шифрования в системах Windows. Ошибки, получившие идентификаторы CVE-2025-55333 и CVE-2025-55338, связаны с неполной логикой сравнения и слабостями в конфигурации, что может позволить локальному пользователю с низкими привилегиями подорвать защиту BitLocker.
Детали уязвимостей
BitLocker предназначен для защиты данных на отдыхающих носителях путем шифрования целых томов и требования факторов аутентификации, таких как ключи доверенного платформенного модуля (TPM) или PIN-коды, перед разблокировкой. Обе уязвимости нацелены на компонент, который проверяет политику шифрования и правила использования ключей. Воспользовавшись пропущенными проверками факторов, злоумышленник, уже имеющий ограниченное выполнение кода на устройстве, может обмануть BitLocker, заставив его рассматривать несанкционированный запрос как легитимный, тем самым расшифровывая тома или раскрывая ключи шифрования без необходимости наличия надлежащих учетных данных.
Технические детали уязвимостей раскрывают их природу. CVE-2025-55333 возникает из-за неполного сравнения с отсутствующими факторами в коде оценки политик. Уязвимая логика не проверяет все требуемые атрибуты перед одобрением запроса на расшифровку. CVE-2025-55338, согласно опубликованному Microsoft бюллетеню, использует ту же самую строку вектора обхода, что указывает на недостаточность аналогичных проверок политик при обработке определенных аргументов команд.
Обе уязвимости имеют уровень серьезности "Важно" с базовой оценкой CVSS v3.1 6.1 для атак из смежной сети и 5.3 для локальных атак, что отражает умеренную сложность эксплуатации, но высокий потенциальный ущерб для конфиденциальности и целостности данных. Microsoft отнесла обе ошибки к своей внутренней программе CNA (орган по нумерации уязвимостей) и выпустила исправления 14 октября 2025 года. Администраторам настоятельно рекомендуется немедленно применить накопительное октябрьское обновление безопасности.
Исправление устраняет проблему, корректируя логику сравнения путем принудительной полной проверки факторов и обновляя процедуры обработки команд BitLocker для отклонения некорректно сформированных запросов. До применения обновлений организациям следует ограничить создание локальных учетных записей и удалить ненужные привилегии администрирования BitLocker. Дополнительно мониторинг необычных выполнений команд BitLocker и журналов операционной системы может помочь в обнаружении попыток обхода.
Крайне важно обеспечить, чтобы все установки Windows с включенным BitLocker были обновлены октябрьским патчем. Необходимо проверить настройки групповой политики, чтобы убедиться, что факторы аутентификации BitLocker, включая TPM, PIN-код и ключи запуска, строго применяются. Следует ограничить привилегии локальных пользователей, чтобы предотвратить запуск инструментов управления BitLocker из ненадежных учетных записей. Наконец, эти новые уязвимости должны быть включены в процессы сканирования на уязвимости для проверки устранения проблем во всей среде.
BitLocker для Windows остается надежным решением для шифрования при правильной настройке и своевременном обновлении. Однако эти уязвимости демонстрируют, что даже зрелые функции безопасности требуют постоянного пересмотра и своевременного обновления, чтобы оставаться на шаг впереди появляющихся методов обхода. Осведомленность и проактивные меры по управлению исправлениями играют решающую роль в поддержании целостности систем шифрования, защищающих конфиденциальные корпоративные и личные данные от несанкционированного доступа.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-55333
- https://www.cve.org/CVERecord?id=CVE-2025-55338
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55333
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55338
