Новый инструмент BitUnlocker по-прежнему позволяет обходить шифрование дисков в системах Windows 11. Для атаки злоумышленнику нужен физический доступ к компьютеру, поэтому специалисты по безопасности рекомендуют компаниям проверить текущие конфигурации BitLocker.
Метод атаки основан на уязвимости CVE-2025-48804, которую Microsoft закрыла в июле 2025 года в рамках Patch Tuesday. Однако специалисты Intrinsec утверждают, что при определенных условиях атаку все еще можно провести. Изначально проблему обнаружила внутренняя исследовательская группа Microsoft Security Testing & Offensive Research (STORM).
Атака использует особенности работы Secure Boot со старыми сертификатами подписи. Во время загрузки Secure Boot проверяет подлинность Windows Boot Manager по сертификату, но не сверяет версию самого файла. На многих системах сертификат Microsoft Windows PCA 2011 до сих пор считается доверенным. Благодаря этому атакующий может загрузить старую уязвимую версию boot manager, даже если система получила все актуальные обновления безопасности.
По данным исследователей, для атаки достаточно USB-накопителя или PXE-сервера загрузки. Специальное оборудование или сложная модификация системы не требуются. Особенно уязвимы конфигурации, где BitLocker использует только TPM-защиту. В таком режиме Trusted Platform Module автоматически выдает ключ шифрования, если считает процесс загрузки доверенным. Дополнительная защита в виде PIN-кода перед загрузкой эффективно блокирует подобную атаку. Лучше защищены и системы, которые уже перешли на новый сертификат Windows UEFI CA 2023.
Эксперты рекомендуют компаниям установить обновление KB5025885 и проверить используемые сертификаты Windows Boot Manager. Кроме того, стоит по возможности включить конфигурацию TPM + PIN, чтобы дополнительно защитить доступ к зашифрованным накопителям.