Система шифрования BitLocker, которую многие пользователи Windows считают практически непробиваемой защитой данных, оказалась уязвима для новой атаки. Специалисты по кибербезопасности из Intrinsec представили инструмент BitUnlocker, позволяющий обойти защиту BitLocker менее чем за пять минут.
Речь идёт не о классическом взломе шифрования в лоб, а о гораздо более изощрённой атаке, использующей особенности механизма загрузки Windows и старые доверенные сертификаты Secure Boot. Уязвимость получила идентификатор CVE-2025-48804 и была закрыта Microsoft ещё летом 2025 года, однако исследователи показали, что проблема остаётся потенциально опасной для большого числа систем.
Главное условие атаки — физический доступ к компьютеру. Именно поэтому BitUnlocker не превращает BitLocker в «бесполезную» технологию, но демонстрирует, насколько важны дополнительные уровни защиты, особенно для ноутбуков и корпоративных устройств.
Суть метода заключается в так называемой downgrade-атаке. Злоумышленник использует USB-накопитель и загружает старую, уязвимую версию загрузчика Windows. Система считает этот загрузчик доверенным, поскольку он подписан старым сертификатом Windows PCA 2011, который до сих пор признаётся Secure Boot как легитимный.
Далее происходит наиболее опасный момент. TPM-модуль — аппаратный чип безопасности, отвечающий за хранение ключей BitLocker — проверяет загрузочную цепочку и не обнаруживает подозрительной активности. В результате TPM автоматически раскрывает мастер-ключ шифрования диска, после чего атакующий получает доступ к уже расшифрованному накопителю.
Особенно неприятным этот сценарий делает тот факт, что пользователь может даже не заметить вмешательства. Система считает загрузку полностью безопасной, потому что доверяет старому сертификату.
Атака использует механизм Windows Recovery Environment и System Deployment Image. Исследователи объясняют, что злоумышленник подсовывает системе легитимный WIM-образ Windows для проверки целостности, но одновременно внедряет вредоносный код, который запускается уже после успешной верификации.
Фактически BitUnlocker демонстрирует фундаментальную проблему современной безопасности: обновление уязвимого ПО недостаточно, если старые доверенные сертификаты и механизмы совместимости продолжают существовать в системе годами.
Впрочем, ситуация не столь катастрофична, как может показаться на первый взгляд. Компьютеры, использующие TPM вместе с PIN-кодом до загрузки системы, полностью защищены от подобного сценария. В этом случае TPM требует физического ввода PIN перед выдачей ключей шифрования, и автоматическое раскрытие данных становится невозможным.
Кроме того, от атаки защищены системы, полностью завершившие переход на новый сертификат Windows UEFI CA 2023 после установки обновления KB5025885. Именно этот переход постепенно должен устранить возможность использования старых загрузчиков с сертификатом PCA 2011.
Для обычных пользователей история с BitUnlocker стала ещё одним напоминанием о том, что безопасность — это не только наличие шифрования, но и правильная настройка всей системы. Многие владельцы Windows 11 полагаются исключительно на стандартную конфигурацию TPM без дополнительных мер защиты, хотя именно такой режим оказался наиболее уязвимым для новой атаки.
На фоне растущего числа краж ноутбуков и корпоративных утечек данных подобные исследования показывают: даже самые надёжные механизмы защиты требуют постоянного обновления и контроля со стороны производителей.