近日,據福布斯報道,微軟Windows 10和Windows 11操作系統中的BitLocker加密系統被發現存在重大安全漏洞。該漏洞可能導致包括密碼在內的敏感數據在未加密狀態下泄露,對用戶的數據安全構成嚴重威脅。
據悉,該漏洞的追蹤編號為CVE-2025-21210,其根源在于BitLocker所依賴的AES-XTS加密機制。盡管AES-XTS相較于前代AES-CBC在密文被更改時會隨機化明文,使得定向操作變得不可行,但它并非無懈可擊。攻擊者可以利用BitLocker在處理崩潰轉儲配置時的設計缺陷,通過破壞特定的注冊表項(HKLMSystemControlSet001ControlCrashControl),禁用dumpfve.sys崩潰轉儲過濾器驅動程序。
一旦dumpfve.sys被禁用,Windows內核將被迫將未加密的休眠鏡像直接寫入磁盤。這些休眠鏡像通常包含來自RAM的敏感數據,如密碼、加密密鑰和個人信息等,從而給攻擊者提供了竊取數據的可乘之機。
據福布斯介紹,該攻擊涉及兩個關鍵階段。首先,攻擊者需要確定與關鍵注冊表項或數據結構對應的精確磁盤偏移量,這通常通過觀察加密磁盤在多個狀態下的密文變化來實現。其次,一旦確定目標位置,攻擊者就會破壞特定的密文塊,從而在AES-XTS模式下隨機化相應的明文塊,而不影響其他塊。
這一漏洞在能夠物理訪問設備的情況下尤為危險。例如,在企業環境中,攻擊者可以利用此缺陷竊取配置了僅TPM BitLocker保護的筆記本電腦,從而獲取其中的敏感數據。如果未實施適當的安全措施,送去維修或回收的設備也可能成為攻擊目標,導致數據被濫用或泄露。
為了應對這一漏洞,微軟已經發布了更新版本的fvevol.sys驅動程序進行修復。該補丁引入了一種驗證機制,確保dumpfve.sys仍然列在DumpFilters注冊表值中。如果dumpfve.sys丟失或損壞,Windows將在啟動過程中立即崩潰,從而有效防止未加密的數據被寫入磁盤。
微軟已在1月的補丁星期二活動日發布了該補丁,并強烈建議所有Windows用戶盡快安裝最新的安全更新,以保護自己的數據安全。對于企業和個人用戶而言,及時更新操作系統和應用程序的安全補丁是防范此類漏洞的有效手段。
