كشف باحثون من شركة الأمن Intrinsec مؤخرًا عن أداة تسمى "BitUnlocker" يمكنها تجاوز تشفير قرص BitLocker الخاص بنظام التشغيل Windows 11 في أقل من 5 دقائق باستخدام وضع حماية TPM (وحدة النظام الأساسي الموثوق به) فقط. تستغل الأداة ما يسمى "هجوم الرجوع إلى إصدار أقدم" الذي يستغل الفارق الزمني بين تصحيح البرنامج وإلغاء الشهادات القديمة. ومن خلال تحميل المكونات القديمة ولكن التي لا تزال موثوقة، فإنه يفتح في النهاية قرصًا محميًا بواسطة BitLocker.
يرتبط هذا الهجوم بالثغرة الأمنية المرقمة CVE-2025-48804، والموجودة في آلية معالجة بيئة استرداد Windows (بيئة استرداد Windows) وصورة نشر النظام (صورة نشر النظام). أصدرت Microsoft تصحيحًا في يوليو 2025 لإصلاحه. ومع ذلك، أشار الباحثون إلى أنه حتى لو تم تصحيح الثغرة الأمنية، طالما أن الشهادة القديمة لا تزال موثوقة من قبل النظام، فمن الممكن تجاوزها من خلال مسار الرجوع إلى إصدار أقدم.
انطلاقًا من ظروف الهجوم، فإن BitUnlocker ليس أداة هجوم عن بعد. يجب على المهاجم أولاً الحصول على حق الوصول الفعلي إلى الجهاز المستهدف. على سبيل المثال، يمكن للمهاجم استخدام محرك أقراص USB محمول مُعد مسبقًا لتزويد Windows Boot Manager بملف Windows Image (WIM) منسق بالكامل وموقع والذي يجتاز فحص التكامل أثناء مرحلة التمهيد، مع تضمين حمولة ضارة. بعد أن يتحقق النظام من ملف الصورة "النظيف"، يستمر في إطلاق التعليمات البرمجية الضارة فيه دون قيد أو شرط، وبالتالي الوصول إلى المجلد الذي تم فك تشفيره.
المفتاح الحقيقي هو أنه يستفيد من المساحة "الاحتياطية" في سلسلة الشهادات. في الوقت الحالي، لا تزال شهادة جذر Windows PCA 2011 المبكرة من Microsoft موثوقة عالميًا بواسطة Secure Boot، مما يوفر للمهاجمين مساحة للرجوع إلى إصدار أقدم: يمكنهم تحميل إصدار أقدم من ثنائي مدير التمهيد الذي يحتوي على ثغرات أمنية معروفة، ولا يزال بإمكان الإصدار القديم من الملف اجتياز التحقق من توقيع Secure Boot ويتم تنفيذه بواسطة النظام كمكون شرعي.
يعد هذا الهجوم بمثابة تحذير صارخ لمستخدمي أجهزة الكمبيوتر العادية والمتحمسين الذين يعتمدون فقط على تكوين TPM الافتراضي لاستخدام BitLocker. عند تشغيل مدير التمهيد القديم الذي تم تخفيض درجته، يظل TPM يتحقق من قياسات التمهيد وفقًا للعملية الحالية ويقارنها بشهادة PCA 2011 التي لا تزال موثوقة. نظرًا لأن بيئة النظام "تبدو طبيعية" من وجهة نظرها، فسوف يقوم TPM بإلغاء حظر مفتاح BitLocker Volume Master Key دون أي تشوهات، ولن تؤدي العملية برمتها إلى تشغيل أي آليات إنذار.
في الوقت الحاضر، لا يزال أكبر "مخزن مؤقت" لسلسلة الهجوم هذه هو الشرط الأساسي للاتصال الجسدي بالجهاز. بالنسبة للأنظمة التي تم فيها تشغيل تكوين TPM ورقم التعريف الشخصي (PIN) قبل التمهيد، ستفقد الهجمات مثل BitUnlocker نطاقها: يتطلب TPM خطوات إدخال يدوية إضافية قبل تحرير المفتاح. وطالما لم يتم تسريب رقم التعريف الشخصي، فمن الصعب على المهاجم الفعلي إكمال عملية الرجوع إلى إصدار أقدم بالكامل والحصول على مفتاح فك التشفير.
بالإضافة إلى ذلك، يمكن للأجهزة التي أكملت التحديث KB5025885 وترحيل سلسلة ثقة Secure Boot إلى الشهادة الرقمية الجديدة لـ Windows UEFI CA 2023 حظر مسار الرجوع إلى إصدار أقدم هذا بشكل أساسي. في هذا التكوين، لم تعد مكونات بدء التشغيل القديمة التي تعتمد على PCA 2011 موثوقة ولا يمكن استخدامها كنقاط دخول. وشدد الباحثون على أنه يجب على المستخدمين والشركات التحقق في أقرب وقت ممكن مما إذا كانت أنظمتهم قد أكملت التحديثات ذات الصلة، وإذا سمحت الظروف، تمكين تدابير الحماية الإضافية مثل أرقام التعريف الشخصية قبل التمهيد لتقليل مخاطر الهجمات الجسدية.
يتعلم أكثر:
https://github.com/garatc/BitUnlocker