Сериозен пробив в сигурността на Microsoft

Експертите по киберсигурност от компанията Intrinsec хвърлиха истинска бомба в технологичния свят, демонстрирайки работещ метод за пълно компрометиране на фирменото криптиране на Microsoft. Благодарение на новосъздадения софтуерен инструмент BitUnlocker, нападателите могат да декриптират и отворят заключени с BitLocker дискови томове на съвременни компютри с Windows 11 за по-малко от пет минути. За целта е необходим единствено физически достъп до целевата работна станция и обикновена USB флашка.

В основата на този сериозен пробив лежи така наречената атака за понижаване на версията (downgrade attack). При нея хардуерът се принуждава да зареди по-стара, но уязвима версия на системния буутлоудър (bootloader). Хакерският трик се възползва от времевия прозорец между пускането на официалната софтуерна кръпка от Microsoft и реалното анулиране на стария дигитален сертификат за сигурност.

Технически пролуката е базирана на критичната zero-day уязвимост CVE-2025-48804, която беше открита от вътрешния екип за засичане на заплахи на Microsoft (STORM) и уж отстранена по време на регулярните актуализации от юли 2025 година. Проблемът се крие в средата за възстановяване на Windows (WinRE) и по-конкретно в начина, по който тя обработва системните файлове за внедряване на изображения (SDI - System Deployment Image). Буутлоудърът проверява целостта на едно легитимно WIM изображение, но архитектурна грешка му позволява паралелно да прикачи второ, модифицирано от хакерите изображение към същата база данни. Резултатът е фатален: системата прави проверка на оригиналния файл, но реално зарежда хакнатия WinRE, който директно стартира команден ред (Command Prompt) с вече отключен и монтиран твърд диск.

Въпреки че Microsoft пусна поправка за файла bootmgfw.efi, чистият пач се оказа напълно безполезен в реалния свят. Причината е, че защитният протокол Secure Boot на дънната платка проверява единствено дали дигиталният сертификат на файла е валиден, но не се интересува от номера на неговата версия. Остарелият сертификат Microsoft Windows PCA 2011, с който са подписвани абсолютно всички зареждащи файлове преди юли 2025 година, все още фигурира като напълно легитимен в базите данни на Secure Boot на почти всички компютри по света (с изключение на машини с чиста инсталация на операционната система след началото на 2026 година). Microsoft не може просто така да заличи PCA 2011 с един замах, тъй като това би блокирало милиарди легитимни програми и драйвери глобално. Поради това старият и уязвим буутлоудър си остава „зелена светлина“ за Secure Boot.

Самият сценарий на атаката протича плашещо лесно. Нападателят подготвя компрометиран конфигурационен файл (BCD), сочещ към фалшивото SDI изображение, и принуждава компютъра да стартира стария буутлоудър от USB флашка. Дънната платка го приема за чиста монета, а Trusted Platform Module (TPM) чипът на чисто сърце предава главния ключ за декриптиране на обема (VMK), без изобщо да активира каквато и да е тревога. Регистрите за измерване на сигурността (PCR 7 и 11) остават непроменени и операционната система се предава напълно разоръжена.

Към настоящия момент всички компютри, при които BitLocker разчита единствено на автоматичното разпознаване от TPM чипа без изискване на ПИН код преди стартиране, са напълно уязвими за тази атака. На сигурно място са единствено потребителите, които са конфигурирали двуфакторно удостоверяване (TPM + PIN), тъй като чипът няма да сподели ключовете без физическото въвеждане на кода от клавиатурата. Защитени са и системите, преминали през пълна миграция към новия сертификат Windows UEFI CA 2023 чрез инсталиране на пакета актуализации KB5025885.

Експертите по ИТ сигурност в корпоративния сектор съветват незабавно да се предприемат защитни мерки. Препоръчително е масовото активиране на TPM + PIN авторизация преди зареждане и принудителното инсталиране на KB5025885, което блокира възможностите за връщане към по-стари версии на софтуера. Системните администратори могат да използват безплатния инструмент sigcheck, за да се уверят дали техните буутлоудъри са подписани с модерния сертификат CA 2023. За критични сървъри и работни станции, където въвеждането на PIN код при всяко рестартиране е неприложимо, най-радикалното и сигурно решение остава пълното премахване на дяла за възстановяване WinRE.