1 月 27 日消息,福布斯(forbes)昨日(1 月 26 日)发布博文,报道称微软 Windows 10、Windows 11 系统中,Windows BitLocker 加密系统存在漏洞,可以导致包括密码在内的敏感数据以未加密的形式泄露。
该漏洞追踪编号为 CVE-2025-21210,主要原因是 BitLocker 所依赖的 AES-XTS 加密机制。相比较前代 AES-CBC,AES-XTS 加密机制在密文被更改时,会随机化明文,理论上让定向操作不可行。
不过 AES-XTS 也并非无懈可击,该漏洞利用 BitLocker 处理崩溃转储配置的设计缺陷,通过破坏单个注册表项(HKLM\System\ControlSet001\Control\CrashControl),攻击者可以禁用 dumpfve.sys 崩溃转储过滤器驱动程序。
这将强制 Windows 内核将未加密的休眠镜像
直接写入磁盘,而这些镜像通常包含来自 RAM 的敏感数据,例如密码、加密密钥和个人信息。
IT之家援引博文介绍,攻击涉及两个关键阶段:
- 识别目标位置:攻击者必须确定与关键注册表项或数据结构对应的精确磁盘偏移量。这是通过观察加密磁盘在多个状态下的密文变化来实现的。
- 随机化密文块:一旦确定目标位置,攻击者就会破坏特定的密文块。在 AES-XTS 模式下,这会随机化相应的明文块,而不会影响其他块。
该漏洞在可以物理访问设备的情况下构成重大风险。例如:
- 企业间谍活动:攻击者可以利用此缺陷窃取配置了仅 TPM BitLocker 保护的笔记本电脑。
- 数据恢复滥用:如果未实施适当的安全措施,则送去维修或回收的设备可能会成为攻击目标。
微软已通过发布更新版本的 fvevol.sys 驱动程序解决了此漏洞。该补丁引入了一种验证机制,确保 dumpfve.sys 仍然列在 DumpFilters 注册表值中。如果它丢失或损坏,Windows 将在启动过程中立即崩溃,从而防止未加密的数据被写入磁盘。
微软已于 1 月补丁星期二活动日发布补丁修复了此漏洞,强烈建议所有 Windows 用户尽快安装最新的安全更新,以保护自己的数据安全。
