快科技8月14日消息,在2025年的Black Hat USA和DEF CON 33安全会议上,微软的安全测试与攻击研究(STORM)团队披露了Windows恢复环境(WinRE)中的多个漏洞。
这些漏洞可能被利用来绕过BitLocker加密,并提取受保护的用户数据。
BitLocker是Windows中用于保护静态数据的全卷加密(FVE)功能,也是少数能够抵御物理攻击的数据保护功能之一。
在BitLocker推出后,微软对WinRE进行了多项更改,以确保即使在BitLocker加密的Windows操作系统驱动器无法访问的情况下,仍然可以进行Windows恢复,这些措施包括:
将WinRE.wim从加密的操作系统卷移动到未加密的恢复分区,以便在故障时能够访问;
实施可信WIM启动,以在自动解锁操作系统卷之前验证映像的完整性;
以及增加在使用命令提示符等高风险工具时触发的卷重新锁定机制,需要BitLocker恢复密钥才能恢复访问。
STORM团队发现,在可信WIM启动验证通过后,WinRE处于自动解锁状态,并会从未受保护的分区(如EFI系统分区和恢复卷)解析文件,并识别出WinRE及其启动过程中的多个漏洞。
为了减少攻击面,微软建议启用TPM并结合PIN进行预启动身份验证,从而将风险仅限于TPM,并降低对自动解锁机制的依赖,微软还建议启用KB5025885中的REVISE缓解措施,以防止降级攻击。
这些漏洞的编号分别为CVE-2025-48800、CVE-2025-48003、CVE-2025-48804和CVE-2025-48818,已于2025年7月的Patch Tuesday更新中修复。
由于补丁是累积的,用户可以下载并安装2025年8月发布的最新Windows 11(KB5063878、KB5063875)和Windows 10(KB5063709、KB5063877、KB5063871、KB5063889)补丁,以确保系统安全。
【本文结束】如需转载请务必注明出处:快科技
责任编辑:黑白
0 条