微软BitLocker加密技术存在严重漏洞，黑客只需短暂物理接触，将设备置于恢复模式并连接网络，即可解密Windows 11系统。研究员演示了利用CVE-2023-21563漏洞，通过“bitpixie”攻击，在不需设备开机的情况下提取加密密钥。尽管微软已修复该漏洞，但演示表明并未完全修复。该攻击风险对普通用户较低，但对企业和政府等机构构成重大安全威胁。临时解决方案包括设置PIN码备份或禁用BIOS网络访问，微软计划2026年分发新的安全启动证书。

🔑 BitLocker加密漏洞：黑客通过物理接触，将设备置于恢复模式并连接网络，可绕过加密解密Windows 11系统。

💻 “bitpixie”攻击：利用旧版Windows引导加载程序，将加密密钥提取到内存，再用Linux系统读取，无需设备开机即可获取密钥。

⚠️ 安全风险：尽管微软已修复CVE-2023-21563漏洞，但该漏洞并未完全修复，对企业和政府等高安全机构构成重大安全隐患。

🛡️ 临时解决方案：用户可通过设置个人PIN码备份BitLocker或在BIOS中禁用网络访问进行自我保护，微软计划在2026年分发新的安全启动证书。

IT之家 1 月 2 日消息，微软 BitLocker 加密技术存在漏洞，黑客只需一次短暂的物理接触，将目标设备置于恢复模式并连接网络，可解密 Windows 11 系统。

安全研究员兼硬件黑客 Thomas Lambertz（th0mas）出席混沌通信大会，发表主题为《Windows BitLocker: Screwed without a Screwdriver》的主题演讲，展示了在微软 BitLocker 加密磁盘上，不需要设备开机，需要一次物理访问，即可利用已知的 CVE-2023-21563 漏洞攻破 BitLocker 防线。

IT之家注：微软已经于 2022 年修复 CVE-2023-21563 漏洞，不过本次演示表明该漏洞并未完全修复。BitLocker 在较新的 Windows 11 系统中默认启用“设备加密”功能，硬盘在静态时加密，但在启动合法 Windows 系统时会自动解密。

Lambertz 利用了一种名为“bitpixie”的攻击手段，通过安全启动运行旧版 Windows 引导加载程序，将加密密钥提取到内存中，再利用 Linux 系统读取内存内容，最终获取 BitLocker 密钥。

微软早已知晓该问题，永久解决方案是撤销易受攻击的引导加载程序的证书，但 UEFI 固件中用于存储证书的内存空间有限，因此短期内很难完全防御。微软计划从 2026 年开始分发新的安全启动证书，这将迫使主板制造商更新 UEFI。

在此之前，用户只能通过设置个人 PIN 码备份 BitLocker 或在 BIOS 中禁用网络访问来进行自我保护。

Lambertz 警告称，即使简单的 USB 网络适配器也足以执行此攻击。对于普通用户来说，这种攻击的风险相对较低。但对于企业、政府等高度重视网络安全的机构而言，只需一次物理访问和一个 USB 网络适配器即可解密 BitLocker，这无疑是一个重大安全隐患。