Microsoft выпустила исправленный bootmgfw.efi через Windows Update в июле 2025 года, но одного патча недостаточно. Secure Boot проверяет сертификат подписи, а не номер версии. Старый сертификат Microsoft Windows PCA 2011 остаётся доверенным на большинстве машин, кроме тех, где выполнена чистая установка Windows после начала 2026 года. Массово отозвать PCA 2011 нельзя, так как это затронет легитимные файлы. Уязвимый bootmgfw.efi с подписью PCA 2011 остаётся действительным для Secure Boot.
Новый инструмент BitUnlocker позволяет расшифровать тома BitLocker на пропатченных Windows 11 менее чем за пять минут при физическом доступе. Исследователи из Intrinsec создали PoC downgrade-атаки, эксплуатирующей разрыв между установкой патча и отзывом старого сертификата. Атакующему нужен USB-накопитель и доступ к рабочей станции. Полностью уязвимы машины с BitLocker, работающим только с TPM без ПИН-кода, и Secure Boot, доверяющим PCA 2011. Защищены системы с TPM+ПИН или после обновления KB5025885.
В основе атаки лежит уязвимость CVE-2025-48804 в среде восстановления Windows (WinRE). Загрузчик принимает настоящий WIM-образ, но позволяет добавить второй образ, контролируемый атакующим. В итоге проверяется один WIM, а загружается другой. Злоумышленник подготавливает модифицированный BCD и загружает старый уязвимый загрузчик через USB или PXE. TPM выдаёт мастер-ключ без предупреждений, так как измерения PCR остаются действительными.
Службам безопасности рекомендуется включить предзагрузочную аутентификацию TPM+ПИН и установить KB5025885 для миграции на сертификат CA 2023. С помощью sigcheck убедитесь, что загрузчик подписан CA 2023, а не PCA 2011. На критических рабочих местах без предзагрузочной аутентификации удалите раздел WinRE. Корпоративным сетям необходимо ускорить миграцию на CA 2023 до начала целевых атак.
0 комментариев