Windows启动管理器中存在一个名为bitpixie的严重漏洞,该漏洞使攻击者能够绕过BitLocker驱动器加密并提升在Windows系统上的本地权限。
该漏洞影响2005年至2022年的启动管理器,并且仍能通过降级攻击在已更新的系统上被利用,给企业安全带来重大风险。
BitPixie漏洞源于Windows启动管理器的PXE(预启动执行环境)软重启功能中的一个缺陷,即在启动过程中,BitLocker卷主密钥(VMK)未能从内存中被正确擦除。
此漏洞与CVE-2023-21563相关,该漏洞会影响启动管理器对网络启动操作的处理。
利用bitpixie Windows启动管理器漏洞
SySS Tech 详细说明,这种利用过程涉及一种复杂的两阶段攻击,其目标是启动配置和内存提取机制。
攻击者首先精心制作一个恶意的启动配置数据(BCD)文件,该文件指定从他们控制的TFTP服务器加载恢复启动进程。
这个修改后的BCD文件会重定向正常的启动序列,以触发PXE软重启,这会加载攻击者控制的Linux环境,同时将VMK保留在系统内存中。
此次攻击利用了Windows测量启动过程中使用的可信平台模块(TPM)和平台配置寄存器(PCRs)。
在正常运行期间,BitLocker依靠PCR寄存器7和11来验证启动完整性,然后才从TPM中解封VMK。
然而,bitpixie漏洞允许攻击者通过利用PXE软重启操作期间的内存持久性来绕过这种保护。
为了从内存中提取VMK,攻击者会扫描特定的字节模式-FVE-FS-(十六进制:2d 46 56 45 2d 46 53 2d),该模式标志着BitLocker元数据区域的起始位置。
VMK本身由字节签名03 20 01 00以及其后的32字节加密密钥标识。一旦提取出来,该密钥可用于解锁整个BitLocker加密分区,从而获得对系统的管理员权限。
即使是受BitLocker预启动身份验证(PBA)和PIN要求保护的系统,仍然容易受到权限提升攻击。
研究表明,知晓BitLocker个人识别码的恶意内部人员可以利用bitpixie获取其分配系统的本地管理员权限。
此次攻击能够成功,是因为PIN验证发生在存在漏洞的内存处理之前,这使得即使是受PIN保护的系统,其VMK也能被提取出来。
攻击者随后可以修改Windows注册表文件(例如安全账户管理器(SAM)数据库),将低权限用户账户添加到管理员组中。
这种技术使得攻击者能够在企业环境中横向移动并保持持久访问。
该漏洞影响多种VMK保护类型,在不同配置下观察到了不同的字节签名:
- 标准TPM保护:03 20 01 00
- 带PIN保护的TPM:03 20 11 00或03 20 05 00
- 恢复密码保护:03 20 08 00
缓解措施
微软已发布KB5025885作为针对bitpixie及相关启动管理器漏洞的主要缓解措施。
此次更新用新的Windows UEFI CA 2023证书替换了存在漏洞的Microsoft Windows Production PCA 2011证书,以防止针对易受攻击的启动管理器的降级攻击。
该补丁向UEFI安全启动数据库添加了新的证书颁发机构,并通过将2011年的证书加入排除签名数据库(DBX)来吊销该证书。
组织应实施全面的防御策略,包括带有强PIN的强制性BitLocker PBA、更新的PCR验证配置以及网络分段,以防止PXE启动攻击。
微软证书更新将在2026年成为强制性要求,届时当前证书将过期,因此尽早部署对于在强制转换前发现兼容性问题至关重要。
安全团队应监控未授权的预启动执行环境(PXE)启动尝试,实施针对工作站的物理安全控制,并确保通过企业密钥管理系统对BitLocker恢复密钥进行安全管理。
这一漏洞表明了基于硬件的安全控制的重要性,以及针对现代加密实现的启动级攻击技术的持续发展。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
