微软公布多个Windows漏洞：可绕过BitLocker加密窃取全盘数据！

在2025年的Black Hat USA和DEF CON 33安全会议上，微软的安全测试与攻击研究（STORM）团队披露了Windows恢复环境（WinRE）中的多个漏洞。

这些漏洞可能被利用来绕过BitLocker加密，并提取受保护的用户数据。

BitLocker是Windows中用于保护静态数据的全卷加密（FVE）功能，也是少数能够抵御物理攻击的数据保护功能之一。

在BitLocker推出后，微软对WinRE进行了多项更改，以确保即使在BitLocker加密的Windows操作系统驱动器无法访问的情况下，仍然可以进行Windows恢复，这些措施包括：

将WinRE.wim从加密的操作系统卷移动到未加密的恢复分区，以便在故障时能够访问；

实施可信WIM启动，以在自动解锁操作系统卷之前验证映像的完整性；

以及增加在使用命令提示符等高风险工具时触发的卷重新锁定机制，需要BitLocker恢复密钥才能恢复访问。

STORM团队发现，在可信WIM启动验证通过后，WinRE处于自动解锁状态，并会从未受保护的分区（如EFI系统分区和恢复卷）解析文件，并识别出WinRE及其启动过程中的多个漏洞。

为了减少攻击面，微软建议启用TPM并结合PIN进行预启动身份验证，从而将风险仅限于TPM，并降低对自动解锁机制的依赖，微软还建议启用KB5025885中的REVISE缓解措施，以防止降级攻击。

这些漏洞的编号分别为CVE-2025-48800、CVE-2025-48003、CVE-2025-48804和CVE-2025-48818，已于2025年7月的Patch Tuesday更新中修复。

由于补丁是累积的，用户可以下载并安装2025年8月发布的最新Windows 11（KB5063878、KB5063875）和Windows 10（KB5063709、KB5063877、KB5063871、KB5063889）补丁，以确保系统安全。