请尽快更新:新漏洞可攻破微软Win10/Win11 BitLocker加密防线

IT之家 1 月 27 日消息，福布斯（forbes）昨日（1 月 26 日）发布博文，报道称微软 Windows 10、Windows 11 系统中，Windows BitLocker 加密系统存在漏洞，可以导致包括密码在内的敏感数据以未加密的形式泄露。

该漏洞追踪编号为 CVE-2025-21210，主要原因是 BitLocker 所依赖的 AES-XTS 加密机制。相比较前代 AES-CBC，AES-XTS 加密机制在密文被更改时，会随机化明文，理论上让定向操作不可行。

不过 AES-XTS 也并非无懈可击，该漏洞利用 BitLocker 处理崩溃转储配置的设计缺陷，通过破坏单个注册表项（HKLM\System\ControlSet001\Control\CrashControl），攻击者可以禁用 dumpfve.sys 崩溃转储过滤器驱动程序。

这将强制 Windows 内核将未加密的休眠镜像
直接写入磁盘，而这些镜像通常包含来自 RAM 的敏感数据，例如密码、加密密钥和个人信息。

IT之家援引博文介绍，攻击涉及两个关键阶段：

• 识别目标位置：攻击者必须确定与关键注册表项或数据结构对应的精确磁盘偏移量。这是通过观察加密磁盘在多个状态下的密文变化来实现的。

• 随机化密文块：一旦确定目标位置，攻击者就会破坏特定的密文块。在 AES-XTS 模式下，这会随机化相应的明文块，而不会影响其他块。

该漏洞在可以物理访问设备的情况下构成重大风险。例如：

• 企业间谍活动：攻击者可以利用此缺陷窃取配置了仅 TPM BitLocker 保护的笔记本电脑。

• 数据恢复滥用：如果未实施适当的安全措施，则送去维修或回收的设备可能会成为攻击目标。

微软已通过发布更新版本的 fvevol.sys 驱动程序解决了此漏洞。该补丁引入了一种验证机制，确保 dumpfve.sys 仍然列在 DumpFilters 注册表值中。如果它丢失或损坏，Windows 将在启动过程中立即崩溃，从而防止未加密的数据被写入磁盘。

微软已于 1 月补丁星期二活动日发布补丁修复了此漏洞，强烈建议所有 Windows 用户尽快安装最新的安全更新，以保护自己的数据安全。