Lỗ hổng CVE mới chưa được vá trong BitLocker của Windows đang làm suy giảm đáng kể mức độ bảo vệ trong hệ sinh thái Microsoft. Hai khai thác được nêu gồm lỗi bỏ qua mã hóa BitLocker có tên YellowKey và một lỗi nâng cao đặc quyền có tên GreenPlasma.
Lỗ hổng CVE Và Ảnh Hưởng Đến BitLocker
Trong bối cảnh tin bảo mật mới nhất, lỗi nghiêm trọng nhất là YellowKey. Khai thác này cho phép vượt qua hoàn toàn BitLocker, từ đó cấp quyền truy cập không giới hạn vào ổ đĩa bị khóa.
Theo mô tả kỹ thuật, YellowKey là một lỗ hổng zero-day nằm trong Windows Recovery Environment (WinRE). Lỗi này chỉ ảnh hưởng đến Windows 11, Windows Server 2022 và Windows Server 2025. Windows 10 không bị ảnh hưởng do khác biệt kiến trúc trong cơ chế khôi phục.
Để khai thác, tác nhân chỉ cần chép một thư mục có tên FsTx lên USB tương thích rồi cắm vào máy đích. Một phương án khác là tháo rời ổ đĩa mục tiêu, chép trực tiếp các tệp khai thác vào EFI partition, sau đó gắn lại ổ đĩa để đạt kết quả tương tự.
Bằng cách khởi động lại hệ thống vào tác nhân khôi phục thông qua tổ hợp phím phù hợp, exploit tận dụng các thành phần WinRE để mở shell với quyền truy cập không bị giới hạn lên volume được bảo vệ.
Thông tin nguồn khai thác công khai được tham chiếu tại GitHub YellowKey và tài liệu phân tích liên quan về việc bỏ qua mã hóa BitLocker.
Điểm Kỹ Thuật Cần Lưu Ý
YellowKey không được mô tả kèm CVSS cụ thể trong nội dung gốc, nhưng mức độ ảnh hưởng được xem là nghiêm trọng vì nó vô hiệu hóa lớp mã hóa toàn đĩa. Trong bối cảnh lỗ hổng CVE, đây là dạng rủi ro đặc biệt cao với các thiết bị phụ thuộc BitLocker để bảo vệ dữ liệu khi bị truy cập vật lý.
Một số biện pháp giảm thiểu được khuyến nghị gồm đặt BitLocker PIN tùy chỉnh, cấu hình BIOS password mạnh và hạn chế thay đổi trái phép trong WinRE. Việc kiểm soát truy cập vật lý vào thiết bị đầu cuối cũng là yêu cầu bắt buộc.
Lỗ Hổng Nâng Cao Đặc Quyền GreenPlasma
Song song với YellowKey, mã khai thác công khai còn đề cập đến GreenPlasma, một lỗ hổng nâng cao đặc quyền cục bộ liên quan đến dịch vụ CTFMON của Windows. Khai thác này dựa trên khả năng tạo memory section objects qua cơ chế cấp phát bộ nhớ tùy ý.
Điểm bất thường là đối tượng bộ nhớ có thể được tạo trong các cấu trúc thư mục vốn chỉ ghi được bởi tài khoản SYSTEM. Điều này cho phép tác nhân không có đặc quyền can thiệp vào các dịch vụ Windows đáng tin cậy và cả driver chạy ở kernel-mode.
Mã công khai hiện tại vẫn kích hoạt một lời nhắc User Account Control (UAC), nên chưa hoàn toàn đạt trạng thái tấn công im lặng. Tuy vậy, khi được ghép nối với các vector truy cập ban đầu, nó có thể mở đường cho truy cập bền vững và kiểm soát sâu vào lõi hệ điều hành.
Kho mã nguồn liên quan được công bố tại GitHub GreenPlasma.
Hệ Quả Đối Với Phòng Thủ
Với GreenPlasma, lỗ hổng CVE này thuộc nhóm remote code execution theo chuỗi khai thác hoàn chỉnh nếu tác nhân đã có điểm bám ban đầu, vì nó có thể dẫn tới nâng quyền trên hệ thống. Trong thực tế, các đội vận hành cần xem đây là một nguy cơ bảo mật nghiêm trọng đối với môi trường có kiểm soát đặc quyền chặt chẽ.
Cho đến khi có bản vá chính thức, việc giám sát bất thường liên quan đến CTFMON, WinRE và các thay đổi trên phân vùng EFI cần được ưu tiên. Các hệ thống không thể ngay lập tức triển khai bản vá phải được theo dõi chặt chẽ hơn ở lớp vật lý và lớp cấu hình khởi động.
Cảnh Báo CVE Và Biện Pháp Giảm Thiểu
Hiện tại chưa có bản vá chính thức cho hai lỗ hổng CVE mới này. Các khuyến nghị phòng thủ tập trung vào giảm thiểu khả năng khai thác bằng truy cập vật lý, bảo vệ cơ chế khởi động và tăng độ cứng của cấu hình mã hóa ổ đĩa.
- Thiết lập BitLocker PIN thay vì chỉ dựa vào TPM.
- Đặt BIOS password mạnh trên thiết bị đầu cuối.
- Giới hạn truy cập vật lý vào máy trạm và máy chủ.
- Ngăn sửa đổi WinRE trái phép cho đến khi có bản cập nhật.
- Kiểm tra EFI partition và dấu hiệu sao chép tệp bất thường trên thiết bị lưu trữ gắn ngoài.
Trong bối cảnh cảnh báo CVE này, các đội an toàn thông tin cần ưu tiên phát hiện xâm nhập ở lớp vật lý và kiểm soát thay đổi cấu hình khởi động, thay vì chỉ dựa vào cơ chế bảo vệ ở mức hệ điều hành.
Chỉ Số Kỹ Thuật Cần Theo Dõi
- YellowKey: Bypass BitLocker qua WinRE.
- GreenPlasma: Nâng cao đặc quyền cục bộ qua dịch vụ CTFMON.
- WinRE: Thành phần khôi phục bị khai thác để mở shell.
- FsTx: Thư mục đặc biệt dùng trong luồng khai thác YellowKey.
- EFI partition: Điểm có thể bị chèn tệp khai thác khi truy cập vật lý vào ổ đĩa.
Những dấu hiệu trên không phải IOC của mã độc theo nghĩa truyền thống, nhưng là các chỉ báo kỹ thuật quan trọng để rà soát rủi ro bảo mật và đánh giá khả năng bị khai thác trong môi trường Windows bị ảnh hưởng.
Tài Liệu Tham Chiếu
Tham khảo thêm thông tin về cơ chế công bố và theo dõi bản vá tại NVD – National Vulnerability Database.
