在2025 年 Black Hat USA 與 DEF CON 33 這兩大安全會議現場,微軟旗下專注於安全測試與攻擊研究的 STORM 團隊對外公佈,Windows 恢復環境(WinRE)存在多個安全漏洞。利用這些漏洞,攻擊者有可能繞過 BitLocker 加密,獲取受保護的用戶數據。BitLocker 是 Windows 系統中用於靜態數據保護的全卷加密(FVE)功能,在抵御物理攻擊方面表現出色,屬於少數具備該能力的數據保護功能。
自 BitLocker 推出以來,微軟對 WinRE 進行了多項優化改造,核心目標是在 BitLocker 加密的 Windows 系統驅動器無法訪問的極端情況下,依然能實現系統恢復。這些措施具體為:將 WinRE.wim 文件從加密的操作系統分區移至未加密的恢復分區,保證故障場景下的可訪問性;實施可信 WIM 啓動驗證流程,在自動解鎖操作系統卷前先校驗映像完整性;同時增加卷重新鎖定機制,當使用命令提示符等高風險工具時會觸發該機制,此時需提供 BitLocker 恢復密鑰方可重新訪問。
據 STORM 團隊披露,在可信 WIM 啓動驗證通過後,WinRE 處於自動解鎖模式,會對未受保護的分區(包括 EFI 系統分區和恢復卷)進行文件解析,過程中發現了 WinRE 及其啓動環節存在的多個安全漏洞。為降低攻擊風險,微軟給出建議:啓用 TPM 並結合 PIN 實施預啓動身份驗證,使風險僅局限於 TPM,同時降低對自動解鎖功能的依賴;另外,還需啓用 KB5025885 中的 REVISE 緩解措施,用於抵御降級攻擊。
上述漏洞的官方編號為 CVE-2025-48800、CVE-2025-48003、CVE-2025-48804 和 CVE-2025-48818,均已在 2025 年 7 月的 Patch Tuesday 更新中完成修復工作。考慮到補丁的累積性特點,用戶可直接獲取 2025 年 8 月推出的最新更新:Windows 11 對應的是 KB5063878 和 KB5063875,Windows 10 則有 KB5063709、KB5063877、KB5063871、KB5063889 等補丁可供安裝,確保系統處於安全狀態。
