BitLocker十年漏洞回顾：哪些已修、哪些未修、哪些依然有效-华盟网

导语：从2016年的Shift+F10绕过到2026年的YellowKey，BitLocker在过去十年间遭遇了数十种攻击手法。这些攻击跨越软件启动链、硬件TPM总线、DMA接口、休眠文件、账户托管等多个维度。本文编译自Elcomsoft技术博客，系统梳理BitLocker漏洞全景图，为国内使用BitLocker的企业安全团队提供参考。

一、背景：BitLocker的威胁模型

BitLocker是微软Windows内置的全磁盘加密方案，核心依赖TPM（可信平台模块）来保管卷主密钥（VMK），并在系统启动时自动释放密钥解锁磁盘。这套设计在物理访问场景下的安全性，取决于TPM能否只向合法启动链释放VMK——而这正是十年来所有攻击的切入点。

Elcomsoft在文章中特别指出一个关键前提：大多数自2022年以来微软修复的启动管理器漏洞，在技术上虽已修复，但攻击者仍可通过引导加载旧版、仍被有效签名的引导程序来绕过修复。微软对此的根本性修复措施——通过KB5025885的缓解措施3，在DBX中吊销微软Windows Production PCA 2011证书——截至2026年5月尚未大规模强制执行，且该证书本身将于2026年10月才到期。这意味着：在此之前，所有标注为”已修复”的漏洞，实际上只是”在此版本上已修复，但仍可通过降级引导加载程序绕过”。

理解这一点，是读懂后文所有攻击分类的前提。

二、软件与启动链攻击：门槛最低、覆盖面最广

这类攻击的最大特点是无需特殊硬件，只需要物理访问和一枚USB闪存盘。它们利用Windows启动管理器和恢复环境中的代码缺陷，在TPM已经释放VMK之后将其截获或诱导泄露。这类攻击覆盖默认的Windows 11″设备加密”配置（TPM-only模式），是取证调查中最常用的BitLocker bypass手段。

2.1 bitpixie与BitUnlocker：降级攻击家族

bitpixie和BitUnlocker代表了同一类攻击思路：通过加载一个旧版、仍被有效签名的Windows引导程序，触发启动管理器和恢复流程中的漏洞代码路径，从而获取VMK。

bitpixie（CVE-2023-21563）利用bootmgr代码路径，将密钥泄露给类网络启动流程；BitUnlocker（Black Hat USA 2025）则利用Windows恢复环境对WIM/SDI ramdisk偏移的处理缺陷。两者都需要攻击者使用USB或PXE服务器引导一枚旧版引导程序（当前固件的Secure Boot DB仍信任PCA 2011证书，所以会接受）。

目前状态：仍处于活跃状态，是对默认Windows 11的主要攻击手段。一旦微软强制执行PCA 2011的DBX吊销，该攻击家族将彻底失效。

2.2 YellowKey：最易用的当前绕过程序

YellowKey是截至2026年5月最新公布的BitLocker绕过程序，属于纯软件攻击，与bitpixie同属启动链攻击家族，但所处位置不同——它存在于Windows恢复环境（WinRE）中，而非引导管理器或TPM堆栈。这使得它对dTPM、fTPM和Pluton平台一视同仁，因为这些平台都不参与WinRE的执行流程。

攻击工具仅需要：一枚载有几个文件的USB闪存盘，加上特定启动提示下的特定按键序列，整个攻击工具包就是这些。其结构性缓解方案——微软的Trusted WIM Boot（将WinRE.wim哈希与已知可信值比对，不匹配则拒绝自动解锁OS卷）——已在部分最新OEM镜像中执行，但尚未成为大多数已部署设备的默认配置。这就是为什么YellowKey在某些笔记本电脑上失败，在另一些上成功。

关键点：由于YellowKey存在于WinRE而非引导加载程序，最终的PCA 2011 DBX强制执行不会使其失效——只有更广泛的Trusted WIM Boot推广才能消除它。

2.3 RAM Leak：最持久的后门

2026年5月发布的RAM Leak是目前最新鲜的攻击手法，本质上是Windows引导管理器的一个缺陷：引导管理器可以从BCD中指定的文件构建ramdisk，且不检查该文件来自哪个设备——因此可以从BitLocker加密分区读取文件。攻击者通过精心设计的BCD条目和恢复序列，强制为OS卷派生密钥，然后将ramdisk指向加密分区上的一个文件。文件内容在派生密钥被清除后仍保留在RAM中，可以被后续转储。

该漏洞代码可追溯至2005年前的BCD前时代，意味着这一缺陷在BitLocker的整个生命周期中都存在。

关键点：微软安全响应中心（MSRC）将此报告关闭，标记为”低优先级”（作者认为这是由于对Secure Boot的误解），不计划修复。这意味着：与启动链家族中的其他攻击不同，RAM Leak不会因PCA 2011 DBX强制执行而失效——它是目前最持久、最可能在2026年10月之后仍然有效的启动链攻击。

2.4 其他启动管理器与WinRE漏洞

Rairii维护的bitlocker-attacks仓库记录了大量独立命名的漏洞，包括dubious disk、dangerous association、break-out-in-hives以及WinRE”按键解密”问题。这些漏洞的机制各不相同（legacy完整性检查、hive解析、systemdatadevice处理），但结果相同：无需密码学手段即可绕过BitLocker。

涉及CVE包括：CVE-2022-29127、CVE-2022-30203、CVE-2022-41099、CVE-2023-21560、CVE-2024-20666、CVE-2024-38065、CVE-2025-21213等。

值得注意的是：微软的补丁并不总是更新现有恢复分区上的WinRE镜像，因此reagentc /info命令的输出非常重要。对于取证分析人员，这意味着现场许多机器在CVE分配多年后仍存在漏洞。

2.5 Shift+F10绕过（历史）

这是2016年由Sami Laiho披露的操作层面漏洞：在Windows功能更新期间按Shift+F10，会调出以SYSTEM权限运行的命令提示符，此时BitLocker保护的卷处于临时解锁状态。这并非代码缺陷，而是工作流疏忽。

已修复，归因于DisableCMDRequest.tag和现代就地升级路径的变化。此案例的意义在于提醒：最严重的BitLocker绕过有些时候是操作层面的，而非密码学层面的。

2.6 BitLocker挂起状态（持续有效）

当BitLocker被挂起时（如通过manage-bde -disable或在功能更新期间自动挂起），Windows会在卷元数据中写入明文”Clear Key”保护器，以便机器无需提示即可启动。在此窗口期间读取卷头即可解密磁盘，无需任何密码学或漏洞利用。

持续有效——这是设计特性，无计划变更。对于调查人员，这是一个需要主动关注的状态：刚关机的笔记本电脑如果所有者在关机前挂起了BitLocker（有意或无意），可直接从磁盘元数据解密。如果设备正在升级中或存在中断的服务操作，优先检查此状态。

三、硬件TPM攻击：无法修补的持久威胁

这类攻击完全绕过软件，直接针对TPM本身：通过监听TPM所在总线进行嗅探、对封装TPM的芯片进行电压故障注入、或攻击其协议栈。这类攻击需要实验台设备和不同程度的焊接或夹具工作，但它们在已出货的硬件上无法通过软件补丁修复——这正是它们持久性的来源。

3.1 TPM总线嗅探：最经典的硬件攻击

在离散型TPM上，芯片在正常启动期间通过总线以明文形式向CPU释放VMK。攻击者在总线上（LPC在旧系统上，SPI在大多数当前系统上）夹接，捕获字节并重建VMK——TPM在做它被设计的事情，弱点在于总线本身未经身份验证。

涉及多项研究：Pulse Security的LPC嗅探（2019年1月）、WithSecure Labs的SPI嗅探（2020年12月）、stacksmashing的Pi-Pico方案（2024年2月）、Compass Security的联想T470演示（2024年2月）。stacksmashing在联想ThinkPad上的演示在43秒内恢复了VMK。

当前状态：仍活跃，在受影响的硅片上无法修复。影响大约2016年至2023年间销售的大多数企业笔记本电脑。TPM+PIN可防御（因为没有PIN，TPM不会释放密钥），Pluton和大大多数fTPM平台也不受影响——但当前大量现场企业硬件仍在使用默认配置的离散TPM。

3.2 faulTPM：AMD固件TPM的电压故障注入

柏林工业大学（TU Berlin）团队展示了对AMD固件TPM（Zen 2和Zen 3 CPU内平台安全处理器中实现的方案）的电压故障注入攻击。故障注入后在正确时刻泄漏芯片唯一密钥，可离线派生出fTPM的密封密钥（包括任何BitLocker VMK）。

当前状态：仍活跃，在受影响的硅片上无法修复。TPM+PIN将此攻击后的工作提升至”对PIN进行数小时GPU暴力破解”级别，而非完全阻止，因为一旦芯片唯一密钥被提取，反锤击保护也随之消失。

3.3 BitLeaker（S3 TPM重置）

2018年Seunghun Han在USENIX和Black Hat EU的研究表明，在易受攻击的固件上，将机器置于S3休眠状态并在恢复时重置TPM的平台配置寄存器，可从自定义Linux环境重新派生VMK。

当前状态：在2021–2022年固件更新中基本修复；使用napper工具检查残余暴露。这是一个需要提及的重要攻击，因为固件补丁覆盖率在各OEM之间确实不均匀， older devices in the field可能仍有暴露。

3.4 TPM-Fail（密码时序侧信道）

密码学时序侧信道攻击，涉及某些TPM ECDSA实现（Intel fTPM和STMicroelectronics的Common Criteria认证离散TPM），通过可观察的签名时间变化进行密钥恢复。

已修复（CVE-2019-11090、CVE-2019-16863）。对2026年现场调查人员来说主要是学术意义，但作为首次广泛公开证明”甚至CC EAL4+认证的TPM也可以被密码学而非物理手段破解”的研究，具有重要历史价值。

四、DMA与物理接口攻击：瞄准运行中机器的内存

这类攻击通过允许直接内存访问的端口（Thunderbolt、ExpressCard、 PCIe或CPU调试接口）从RAM中提取密钥。它们通常需要目标机器已登录或至少正在运行，并在现代硬件上通过内核DMA保护（Windows 10 1803及更高版本启用VT-d）缓解。

4.1 PCILeech / MemProcFS

Ulf Frisk的PCILeech将一块廉价的PCIe开发板变成DMA外设，可读写任意主机内存。MemProcFS将结果内存作为文件系统暴露，专用插件直接从内核池中提取BitLocker FVEK。

当前状态：对无保护的机器仍活跃。一旦VT-d和内核DMA保护均启用，攻击面急剧缩小。

4.2 Thunderspy

2020年披露的研究表明，2011年至2019年间生产的Thunderbolt 1、2和3控制器存在固件级缺陷，允许安全级别降级和任意外设连接（包括锁定状态下）。结合DMA工具，可在无内核DMA保护的情况下访问锁定机器的内存。

当前状态：仍活跃，受影响硬件代（2019年前售出的大多数配备Thunderbolt的笔记本电脑）——无法在固件中修复，需要芯片重新设计。

4.3 DCILeech（Intel直接连接接口）

现代Intel CPU（Skylake/第六代及更新版本）配备调试接口DCI，可通过修改的USB 3.0 A-to-A线（约10美元）启用并获得任意内存读取权限，进而提取BitLocker密钥。2023年巴西联邦警察的DFRWS Europe论文已使用此方法针对运行Windows 11 Pro的第七代Intel笔记本电脑进行了实际演示。

当前状态：在固件允许DCI启用且PCR7计时条件成立的情况下仍活跃。这是所有DMA攻击中对执法最友好的方案，因为一旦DCI可从BIOS启用，无需焊接或拆开机箱，但OEM固件彩票（某些严格锁定DCI，某些不）决定了任一给定被扣押设备是否在范围内。

五、内存与休眠状态攻击：不要轻易关机

这类攻击需要正在开机、处于睡眠状态或刚关机的机器——从RAM或休眠/页面文件中提取密钥。对于调查人员的操作意义是：在考虑活动采集之前，不要对正在运行的嫌疑机器进行关机。

5.1 冷启动攻击

2008年普林斯顿大学原创工作（”Lest We Remember”）和2018年F-Secure的更新均依赖于DRAM在断电后保留内容数秒至数分钟（冷却时可延长）。冷启动到攻击者控制的操作系统可读取前一操作系统的内存，包括BitLocker VMK。

当前状态：部分有效。DDR3缓解了原始攻击的大部分攻击窗口；微软此后在Windows 10之后添加了暖启动密钥擦除。F-Secure 2.0变体对许多处于S3睡眠状态的笔记本电脑仍然有效。

5.2 休眠文件与内存镜像提取

如果BitLocker卷在机器休眠时已挂载，FVEK就位于压缩的hiberfil.sys中。Volatility的BitLocker插件和Elcomsoft Forensic Disk Decryptor扫描已知的FVEc和Cngb池标签，输出可直接挂载的FVEK和调整量。

当前状态：仍活跃——从Windows 7到当前Windows 11均有效。这是任何具有活动采集能力的取证团队的基本方法。

六、密码与密钥恢复：字典攻击仍有市场

这是人们听到”破解BitLocker”时最常想到的类别，对于强恢复密钥基本是死胡同，但对于弱用户密码则是可行选项。

6.1 EFDD + EDPR：密码暴力破解

Elcomsoft Forensic Disk Decryptor提取卷头，Elcomsoft Distributed Password Recovery进行密码攻击。在旧版NVIDIA GeForce RTX 3090上约为每秒3000个密码，现代变体上显著更快。这意味着：字典+规则是针对用户密码的唯一实用方法。

重要细节：只能恢复用户可选密码（无TPM），不能恢复恢复密钥。BitLocker恢复密钥为48位十进制数字，携带128位真实熵，通过Microsoft的乘以11编码分发——通过纯暴力破解完整密钥不可行（大约需要10²⁸ GPU年）。

6.2 微软账户/Entra ID托管提取

自Windows 8.1以来，”设备加密”自动将BitLocker恢复密钥上传到用户的微软账户（OneDrive）或Entra加入设备上的Entra ID。攻击者如果获得用户MSA控制权，或持有租户全局管理员、云设备管理员、服务台管理员或全局读取者角色，可提取范围内每个设备的恢复密钥。

当前状态：仍活跃——这是设计特性，非漏洞，无CVE。对于具有适当法律授权的调查人员，这是任何消费者Windows安装（默认开启设备加密，首次MSA登录自动上传，上传前无选择退出）上操作最简单的路径，也是任何Entra加入的企业fleet（具有相应角色权限可在授权令或配合下执行）的最简单路径。

七、2026年安全态势总结

两大结构性变化即将重塑格局

第一个变化：微软对PCA 2011 DBX的强制执行（KB5025885）。该操作已”评估中”超过一年，基础证书在2026年10月到期将最终强制执行。一旦大规模落地， section 1中所有可通过降级达到的攻击——bitpixie、BitUnlocker、Rairii启动管理器家族、BlackLotus——都将停止工作。

第二个变化：从离散TPM向Pluton和fTPM平台的逐步迁移，将关闭总线嗅探攻击面，但不会解决faulTPM类硬件攻击。

哪个配置最难提取？

TPM-only（任何厂商、任何代际）：基本上全部可提取。软件启动链家族（bitpixie、BitUnlocker、YellowKey等）不关心使用哪种TPM，因为TPM在攻击捕获时已经合法释放了VMK。只要固件仍信任PCA 2011证书（2026年5月的大多数已部署消费者机器仍然如此），一枚USB盘和大约5分钟就足够。

PIN+TPM，Intel PTT（任何代际）：实际上是一堵墙。PIN击败整个软件工具链；PTT没有暴露的总线可嗅探；faulTPM仅限AMD。剩余攻击面是旧固件上仍可启用DCI菜单的DCILeech、活动采集（如果机器被扣押时正在开机或睡眠）以及账户托管（如果可合法获得用户MSA或Entra凭据）。

PIN+TPM，AMD Zen 2和Zen 3（约2019年至2022年初）：仍可提取，但需要serious lab能力。faulTPM无论PIN如何都会提取芯片唯一密钥，之后PIN本身可离线暴力破解且无反锤击保护。硬件成本低于200美元；真正的成本是技能——逆向工程加电压故障注入不是典型取证部门的 bench work。

PIN+TPM，AMD Zen 4及更新版本（2022年及之后）：无公开攻击。柏林工业大学的工作明确范围仅限Zen 2和Zen 3，更新版AMD PSP尚未公开演示。但没有公开漏洞 ≠ 证明安全——只是操作层面，2026年5月面对使用强PIN的Ryzen 7000或9000系统，调查人员没有公开工具箱可用。

八、面向企业安全团队的防御建议

最关键的单项配置变更：启用TPM+PIN预启动身份验证。它击败bitpixie和BitUnlocker（TPM没有PIN不释放VMK）、击败总线嗅探（同样原因）、击败来自锁定状态的DMA攻击、击败S3 TPM重置，并实质性提升faulTPM类攻击的门槛（将PIN的GPU暴力破解置于直接密钥恢复之后）。它对已运行的机器或账户托管提取无效。

具体行动清单：