-
09/04/2020
-
141
-
1.911 bài viết
Microsoft phát hành giải pháp ngăn chặn lỗ hổng YellowKey vượt qua mã hóa BitLocker
Microsoft đã chính thức triển khai các biện pháp giảm thiểu nhằm đối phó YellowKey, lỗ hổng zero-day mới bị công khai có khả năng vượt qua cơ chế mã hóa ổ đĩa BitLocker trên Windows. Lỗ hổng hiện được theo dõi dưới mã CVE-2026-45585 với điểm CVSS 6.8 và yêu cầu kẻ tấn công phải có quyền tiếp cận vật lý với thiết bị mục tiêu.
Để thực hiện cuộc tấn công, tin tặc có thể sử dụng USB chứa mã khai thác YellowKey rồi khởi động hệ thống vào môi trường khôi phục Windows Recovery Environment (WinRE). Thay vì hiển thị giao diện phục hồi thông thường, hệ thống sẽ mở trực tiếp một cửa sổ dòng lệnh với phân vùng ổ đĩa đã được BitLocker tự động mở khóa, cho phép truy cập dữ liệu vốn đang được mã hóa bảo vệ.
Cơ chế khai thác tận dụng Transactional NTFS replay thông qua thư mục FsTx trên thiết bị USB để xóa tệp cấu hình winpeshl.ini trong thư mục System32 của WinRE. Đây là tệp kiểm soát hành vi khởi động của môi trường phục hồi Windows. Khi tệp bị xóa, hệ thống không còn tải giao diện khôi phục mặc định mà thay vào đó chuyển quyền điều khiển trực tiếp sang command prompt.
Các chuyên gia bảo mật cho rằng điểm đáng lo ngại không chỉ nằm ở khả năng vượt qua BitLocker, mà còn ở việc một tiến trình từ thiết bị ngoài có thể tác động trực tiếp đến dữ liệu trên phân vùng hệ thống thông qua cơ chế FsTx replay. Điều này làm dấy lên nghi ngại về một vấn đề sâu hơn trong kiến trúc xử lý của WinRE và Transactional NTFS.
Để giảm thiểu nguy cơ bị khai thác, Microsoft đã đưa ra quy trình kỹ thuật nhiều bước nhằm vô hiệu hóa tiện ích FsTx Auto Recovery Utility, cụ thể là tệp autofstx.exe, trong quá trình WinRE khởi chạy. Quản trị viên được hướng dẫn mount hình ảnh WinRE trên từng thiết bị, chỉnh sửa registry hive để loại bỏ khả năng thực thi của autofstx.exe, sau đó cập nhật lại hình ảnh phục hồi và thiết lập lại cơ chế tin cậy của BitLocker đối với WinRE.
Bên cạnh đó, Microsoft cũng khuyến nghị người dùng bổ sung mã PIN cho BitLocker thay vì chỉ dựa vào TPM mặc định. Tuy nhiên, nhà nghiên cứu Chaotic Eclipse, người công bố mã khai thác YellowKey, cho biết kỹ thuật này vẫn có thể hoạt động ngay cả trên các hệ thống đã bật TPM kết hợp PIN.
Để thực hiện cuộc tấn công, tin tặc có thể sử dụng USB chứa mã khai thác YellowKey rồi khởi động hệ thống vào môi trường khôi phục Windows Recovery Environment (WinRE). Thay vì hiển thị giao diện phục hồi thông thường, hệ thống sẽ mở trực tiếp một cửa sổ dòng lệnh với phân vùng ổ đĩa đã được BitLocker tự động mở khóa, cho phép truy cập dữ liệu vốn đang được mã hóa bảo vệ.
Cơ chế khai thác tận dụng Transactional NTFS replay thông qua thư mục FsTx trên thiết bị USB để xóa tệp cấu hình winpeshl.ini trong thư mục System32 của WinRE. Đây là tệp kiểm soát hành vi khởi động của môi trường phục hồi Windows. Khi tệp bị xóa, hệ thống không còn tải giao diện khôi phục mặc định mà thay vào đó chuyển quyền điều khiển trực tiếp sang command prompt.
Các chuyên gia bảo mật cho rằng điểm đáng lo ngại không chỉ nằm ở khả năng vượt qua BitLocker, mà còn ở việc một tiến trình từ thiết bị ngoài có thể tác động trực tiếp đến dữ liệu trên phân vùng hệ thống thông qua cơ chế FsTx replay. Điều này làm dấy lên nghi ngại về một vấn đề sâu hơn trong kiến trúc xử lý của WinRE và Transactional NTFS.
Để giảm thiểu nguy cơ bị khai thác, Microsoft đã đưa ra quy trình kỹ thuật nhiều bước nhằm vô hiệu hóa tiện ích FsTx Auto Recovery Utility, cụ thể là tệp autofstx.exe, trong quá trình WinRE khởi chạy. Quản trị viên được hướng dẫn mount hình ảnh WinRE trên từng thiết bị, chỉnh sửa registry hive để loại bỏ khả năng thực thi của autofstx.exe, sau đó cập nhật lại hình ảnh phục hồi và thiết lập lại cơ chế tin cậy của BitLocker đối với WinRE.
Bên cạnh đó, Microsoft cũng khuyến nghị người dùng bổ sung mã PIN cho BitLocker thay vì chỉ dựa vào TPM mặc định. Tuy nhiên, nhà nghiên cứu Chaotic Eclipse, người công bố mã khai thác YellowKey, cho biết kỹ thuật này vẫn có thể hoạt động ngay cả trên các hệ thống đã bật TPM kết hợp PIN.