8 月 14 日消息,科技媒体 NeoWin 昨日(8 月 13 日)发布博文,报道称在 Black Hat USA 2025 与 DEF CON 33 大会上,微软安全测试与进攻性研究团队(STORM)披露 Windows 恢复环境(WinRE)存在多个漏洞,可被利用绕过 BitLocker 加密,窃取全盘加密数据。
注:WinRE 是 Windows 10、Windows 11 系统的关键恢复功能,主要用于系统崩溃或损坏后,用户可通过登录界面按住 Shift 键重启进入,通过独立运行环境修复系统故障。
BitLocker(在部分设备上称“设备加密 DE”)是 Windows 中抵御物理攻击的核心防护功能,通过全卷加密保护静态数据。
为确保 BitLocker 启用后仍能恢复系统,微软调整了 WinRE 架构,将其镜像(WinRE.wim)移至未加密的恢复分区,并引入“可信 WIM 启动”机制验证镜像完整性,同时在运行高风险工具(如命令提示符)时触发卷重锁,需输入恢复密钥才能继续。
研究发现,一旦 WinRE 通过可信验证进入“自动解锁”状态,即可访问 EFI 系统分区和恢复分区中的文件📄。攻击者可利用其中多个漏洞,操控 WinRE 执行恶意代码,提取 BitLocker 密钥或直接复制加密数据。
相关漏洞编号为 CVE-2025-48800、CVE-2025-48003、CVE-2025-48804 和 CVE-2025-48818,已在 2025 年 7 月星期二补丁活动日发布的累积更新中修复,微软敦促 Windows 10、Windows 11 系统尽快安装更新,由于更新是累积的,用户可以选择安装最新 8 月累积更新。
