Microsoft 解决了影响其 Windows BitLocker 加密功能的两个重大权限提升漏洞。

这些漏洞被跟踪为 CVE-2025-54911 和 CVE-2025-54912，于 2025 年 9 月 9 日披露，严重性评级为“重要”。

这两个漏洞都可能允许授权攻击者绕过 BitLocker 旨在强制实施的安全层，从而在受感染的计算机上获得完整的 SYSTEM 权限。

Microsoft 指出，被认为“不太可能被利用”，截至披露时，这些漏洞尚未公开详细说明或被广泛利用。

BitLocker 特权升级漏洞

CVE-2025-54911 和 CVE-2025-54912 都被归类为“释放后使用”漏洞，这是一种常见且危险的内存损坏错误类型。

此弱点在 CWE-416 下编目，当程序在释放或释放内存后继续使用指向内存位置的指针时，就会出现该漏洞。

当攻击者可以影响写入此已释放空间的数据时，他们通常可以纵程序的执行流。

在这种情况下，恶意行为者可以利用此控件执行任意代码，从而导致完全系统接管。

BitLocker 等关键安全组件中存在两个不同的“释放后使用”错误，凸显了在复杂软件中维护内存安全方面持续面临的挑战。

成功利用任一漏洞都会导致完全权限升级。利用这些缺陷的攻击者可以获得系统级访问权限，这是 Windows 系统上的最高权限级别。

这将使他们能够安装程序、查看、更改或删除数据，以及创建具有完全用户权限的新帐户。

根据 Microsoft 提供的 CVSS 指标，攻击要求攻击者已经拥有目标系统的低级权限。

此外，利用成功需要某种形式的用户交互，这意味着攻击者需要诱骗授权用户执行特定作。

这一先决条件使远程自动化攻击变得更加困难，但不会降低攻击者已经站稳脚跟的情况下的风险。

缓解措施

针对这一发现，Microsoft 已修复 2025 年 9 月补丁星期二更新中的漏洞。该公司敦促用户和管理员及时应用最新更新，以保护其系统免受潜在攻击。

虽然目前评估可利用性的可能性较小，但潜在影响的严重性需要立即采取行动。

CVE-2025-54912 的发现归功于 Hussein Alrubaye 与 Microsoft 合作，这表明该公司与外部安全研究人员之间为识别和解决关键安全问题而做出的合作努力。

建议用户通过标准 Windows 更新服务检查更新，以确保他们的系统不再容易受到这些权限升级缺陷的影响。