Исследователи из компании Intrinsec продемонстрировали новый инструмент BitUnlocker, позволяющий обойти шифрование BitLocker в Windows 11 менее чем за пять минут на уже пропатченных системах. Атака опирается на уязвимость CVE-2025-48804 в среде восстановления Windows (WinRE) и использует механизм понижения версии загрузчика (downgrade-атака). Для её проведения атакующему требуется лишь физический доступ к рабочей станции и USB-накопитель либо загрузка по сети PXE.
Суть атаки заключается в том, что защищённый загрузчик принимает подлинный WIM-образ для проверки целостности, но даёт возможность добавить во вспомогательный SDI-файл второй образ, контролируемый злоумышленником. В результате проверяется один WIM, а загружается другой — с модифицированным WinRE, который предоставляет командную строку уже при расшифрованном и смонтированном системном томе. BitUnlocker подготавливает изменённый файл BCD, указывающий на подменённый SDI, и запускает старый уязвимый bootmgfw.efi с флешки или по сети.
Microsoft исправила CVE-2025-48804 в рамках июльского Patch Tuesday 2025 года и выпустила обновлённый bootmgfw.efi через Windows Update. Однако одного патча недостаточно: Secure Boot проверяет лишь действительность подписи, а не версию файла. Старый сертификат Microsoft Windows PCA 2011 по-прежнему считается доверенным практически на всех работающих системах, поэтому уязвимый загрузчик, подписанный этим сертификатом, принимается без замечаний. В такой конфигурации TPM выдаёт мастер-ключ тома BitLocker (VMK), измерения PCR остаются валидными, и системный том открывается полностью расшифрованным.
Полностью уязвимы машины, где BitLocker работает только с TPM, без предзагрузочного ПИН-кода, а в базе Secure Boot всё ещё присутствует сертификат PCA 2011. Системы, использующие связку TPM + ПИН-код, защищены: без участия пользователя TPM не раскрывает VMK. Также защищены конфигурации, завершившие миграцию по обновлению KB5025885 на сертификат Windows UEFI CA 2023 и новые механизмы отзыва, блокирующие downgrade-атаку.
Эксперты рекомендуют службам ИБ немедленно включить предзагрузочную аутентификацию TPM + ПИН-код, установить обновление KB5025885 и с помощью утилиты sigcheck проверить, что загрузчик подписан сертификатом Windows UEFI CA 2023, а не устаревшим PCA 2011. На критически важных рабочих местах, где предзагрузочный ПИН по тем или иным причинам невозможен, Intrinsec советует удалить раздел восстановления WinRE, чтобы сузить поверхность атаки. Ускоренная миграция на CA 2023 рассматривается как необходимое условие, чтобы не допустить массового применения BitUnlocker и аналогичных инструментов в целевых атаках на корпоративные сети.