微软披露WinRE漏洞，BitLocker加密存在被绕过风险

在 2025 年 8 月 13 日，有科技资讯指出，在 Black Hat USA 2025 及 DEF CON 33 会议期间，微软安全测试与进攻性研究团队（STORM）公开了 Windows 恢复环境（WinRE）中存在的若干安全漏洞。这些漏洞可能被恶意利用，从而绕开 BitLocker 加密机制，导致设备上的全盘加密数据面临被窃取的风险。

WinRE 是 Windows 10 和 Windows 11 系统中的一项重要恢复功能，主要用于在系统崩溃或损坏时进行修复。用户可通过在登录界面长按 Shift 键重启设备进入该环境，在独立的运行环境中进行系统问题的排查与恢复。

BitLocker 是 Windows 系统用于防范物理攻击的核心安全功能，它通过全卷加密的方式保护设备上静态数据的安全。为了在启用 BitLocker 的同时保障系统恢复能力，微软对 WinRE 架构进行了调整，将 WinRE 的镜像文件 WinRE.wim 存放于未加密的恢复分区中，并引入了“可信 WIM 启动”机制来校验镜像的完整性。此外，在使用高风险工具（例如命令提示符）时，系统会自动锁定卷，需输入恢复密钥方可继续操作。

研究表明，一旦 WinRE 成功通过可信验证并进入“自动解锁”状态，攻击者便可以访问 EFI 系统分区和恢复分区中的内容。利用相关的多个漏洞，攻击者能够操控 WinRE 运行恶意代码，从中提取 BitLocker 解密密钥，甚至直接复制加密数据。

此次发现的安全漏洞编号分别为 CVE-2025-48800、CVE-2025-48003、CVE-2025-48804 和 CVE-2025-48818，已在 2025 年 7 月的例行补丁更新中完成修复。微软建议所有使用 Windows 10 和 Windows 11 的用户尽快安装最新的系统更新。考虑到更新内容具有累积性，用户也可直接安装 2025 年 8 月的最新累积更新以提升系统安全性。