Windows 11 sistemlərində BitLocker şifrələməsini hədəf alan yeni “BitUnlocker” hücumu aşkarlanıb

Windows 11 sistemlərində BitLocker şifrələməsini hədəf alan yeni “BitUnlocker” adlı hücum aləti aşkar edilib. Məlumata görə bu alət fiziki giriş imkanı olan hücumçulara yenilənmiş Windows 11 cihazlarında şifrələnmiş disklərə qısa müddət ərzində giriş əldə etməyə imkan verən “downgrade” hücumunu nümayiş etdirir.

Araşdırmalara əsasən hücum CVE-2025-48804 identifikatoru ilə izlənilən boşluqla əlaqəlidir. Sözügedən zəiflik 2025-ci ilin iyul ayında yayımlanan “Patch Tuesday” yeniləmələri çərçivəsində aradan qaldırılmış kritik zero-day boşluqlarından biri kimi qiymətləndirilmişdi.

Tədqiqatçılara bildirirlər ki, zəiflik Windows Recovery Environment (WinRE) mühitində və System Deployment Image (SDI) fayl mexanizmində müşahidə olunur. Hücum zamanı sistem qanuni WIM faylını yoxlasa da, faktiki yüklənmə hücumçu tərəfindən dəyişdirilmiş ikinci WIM faylı üzərindən həyata keçirilir. Bu fayl isə system açılan zaman cmd.exe prosesini işə salan dəyişdirilmiş WinRE obrazını ehtiva edir. Bu mərhələdə BitLocker ilə qorunan disk artıq deşifrə edilmiş və sistemə qoşulmuş vəziyyətdə olur.

Microsoft 2025-ci ilin iyul ayında Windows Update vasitəsilə dəstəklənən sistemlər üçün yenilənmiş bootmgfw.efi faylını təqdim etmişdir. Bununla belə, tədqiqatçılar bildirirlər ki, yalnız bu yeniləmənin quraşdırılması hücum səthini tam aradan qaldırmır. BitUnlocker hücumunu mümkün edən əsas səbəb yeniləmənin tətbiq edilməməsi deyil, köhnə imzalama sertifikatının hələ də etibarlı qalmasıdır.

Araşdırmaya əsasən hücum üçün xüsusi avadanlıq tələb olunmur. Fiziki giriş, USB daşıyıcı və ya PXE boot server hücumun həyata keçirilməsi üçün kifayət edə bilər. Risk əsasən TPM-only BitLocker konfiqurasiyasından istifadə edən sistemlərə aiddir. TPM + PIN aktiv edilən cihazlarda bu hücumun qarşısı alınır, çünki sistem açarın təqdim edilməsi üçün istifadəçi təsdiqi tələb edir. Həmçinin KB5025885 yeniləməsini tətbiq edən və Windows UEFI CA 2023 sertifikatına keçid etmiş sistemlər bu hücum ssenarisinə qarşı qorunmuş hesab olunur.