微软Windows BitLocker系统发现重大漏洞，敏感数据或被泄露

近日，福布斯发布了一篇引起广泛关注的博文，指出微软在其Windows 10及Windows 11系统中的BitLocker加密系统存在安全漏洞。这一漏洞可能导致包括用户密码在内的敏感数据以未加密的形式被攻击者获取，给用户的隐私和数据安全带来了严重威胁。

该漏洞的跟踪编号为CVE-2025-21210，主要源于BitLocker所依赖的AES-XTS加密机制。相较于前一代的AES-CBC，加密技术AES-XTS在密文被修改时有能力随机化明文，理论上让有针对性的攻击变得不可能。AES-XTS并非没有缺陷，安全研究人员发现，BitLocker在处理崩溃转储配置时存在设计上的漏洞。攻击者若能通过特定手段破坏一个注册表项（HKLM\System\ControlSet001\Control\CrashControl），便可以禁用dumpfve.sys崩溃转储过滤器驱动程序。

一旦禁用这一安全机制，Windows内核将被迫将未加密的休眠镜像直接写入磁盘，而这些镜像通常包含敏感数据，比如用户的密码、加密密钥和其他私人信息。该漏洞的利用过程分为两个主要阶段：

1. 获取关键数据：攻击者需要确定与关键注册表项或数据结构对应的准确磁盘偏移量。这一过程涉及观察加密磁盘在不同状态下的密文变化，以识别目标数据。

2. 破坏密文：在知道目标位置后，攻击者可以对特定的密文块进行破坏。在AES-XTS模式下，对一个密文块的攻击将随机化相应的明文块，而不影响其他部分数据。这种精准的攻击方式使得攻击者能够在不干扰其他数据的情况下获取所需的敏感信息。

这样的漏洞在物理访问设备的情况下构成了相当大的安全隐患。假如攻击者能够与配备仅TPM BitLocker保护的笔记本电脑进行物理接触，他们便可轻易利用此缺陷窃取机密数据。当设备送往维修或处置时，如果未采取适当的安全措施，攻击者同样可能会利用这种漏洞进行数据恢复，每个设备都可能成为潜在的攻击目标。

针对这一严重漏洞，微软已经采取措施。在1月份的补丁星期二活动中，微软发布了更新版本的fvevol.sys驱动程序以修复此问题。新的补丁引入了一种验证机制，确保dumpfve.sys在DumpFilters注册表值中保持完整。若该文件丢失或损坏，Windows系统将在启动过程触发崩溃，以防止未加密的数据被写入磁盘，最大限度地减少用户信息泄露的风险。

强烈建议所有Windows用户立即检查并安装最新的安全更新，以确保自身数据安全免受该漏洞的侵害。Windows系统的用户应当采取这种预防措施，以提升其数据安全级别，尽量避免因漏洞带来的风险。企业用户尤其需要提高警惕，因其在设备管理和员工使用过程中易受到影响，尤其是在设备被调送至第三方维修时，要特别关注数据安全问题。

对于任何软件而言，及时更新和补丁管理都是非常关键的。用户应定期关注微软官方发布的安全信息，并务必在第一时间进行系统更新。企业还应考虑引入专家或安全团队，制定详细的IT安全政策，保障自身的信息资产不受潜在威胁。

而言，微软Windows BitLocker系统中存在的这一重大漏洞提醒了广大用户，无论在个人层面还是企业环境中，数据保护都不可忽视。加强安全意识，定期更新系统，并采取必要的安全防护措施，将是确保信息安全的有效策略。用户在操作设备时务必保持警惕，确保自身数据不被泄露。