"Cơn ác mộng" của Microsoft: Nhà nghiên cứu tung ra lỗ hổng 0-day qua mặt BitLocker

Nhà nghiên cứu bảo mật mang biệt danh "Nightmare Eclipse" – người đang có mâu thuẫn gay gắt với Microsoft – vừa tung ra một mã khai thác (exploit) mới vào tối thứ Tư tuần trước. Theo tuyên bố của người này, lỗ hổng được đặt tên là GreatXML có khả năng tạo ra một cửa sổ lệnh (command prompt), từ đó cho phép truy cập hoàn toàn vào các ổ đĩa được mã hóa bởi BitLocker.

Được mô tả là một "phát hiện tình cờ", GreatXML chỉ mất 4 giờ để Nightmare Eclipse tìm ra. Mã khai thác này đã được đăng tải lên GitHub và các nền tảng lưu trữ mã nguồn khác. Nhà nghiên cứu cho rằng exploit có thể qua mặt BitLocker trên bất kỳ hệ thống nào đã từng chạy tính năng quét Microsoft Defender Offline ít nhất một lần trong quá khứ.

Cơ chế hoạt động và tranh cãi

Theo hướng dẫn của Nightmare Eclipse, để thực hiện cuộc tấn công, kẻ tấn công cần sao chép tệp "unattend.xml" và thư mục "Recovery" vào thư mục gốc của phân vùng phục hồi (recovery partition). Bước tiếp theo là khởi động lại máy vào môi trường WinRE (Windows Recovery Environment) bằng cách nhấn giữ Shift và chọn Restart. Nếu thực hiện đúng, một shell với quyền truy cập không bị giới hạn vào khối dữ liệu BitLocker sẽ xuất hiện.

Tuy nhiên, chuyên gia bảo mật Will Dormann đã thử nghiệm và làm theo các bước của Nightmare để tái hiện lỗi GreatXML. Ông nhận định rằng mô tả này có vẻ "khuyết tật". Trong quá trình kiểm thử của mình, Dormann cho biết cửa sổ lệnh chỉ xuất hiện vào lần chạy tiếp theo của quét Microsoft Defender Offline.

"Và để kích hoạt một lần quét Microsoft Defender Offline, bạn vừa cần phải đăng nhập vào Windows, vừa cần có thông tin xác thực của quản trị viên (admin)," Dormann viết trên mạng xã hội. "Và nếu bạn đã có cấp độ truy cập đó, bạn hoàn toàn có thể tắt BitLocker mà không cần dùng đến exploit này."

Dormann cũng chỉ ra rằng hướng dẫn của GreatXML yêu cầu Windows phải tự động chuyển sang chế độ quét khi khởi động vào WinRE, nhưng điều này không xảy ra trên bất kỳ phiên bản Windows 11 nào mà ông đang kiểm thử.

Chuỗi lỗ hổng mới và phản ứng của Microsoft

GreatXML xuất hiện chỉ một ngày sau khi Nightmare công bố mã khai thác cho RoguePlanet – một lỗ hổng cho phép leo thang đặc quyền cục bộ (local privilege escalation) dẫn đến quyền kiểm soát cấp SYSTEM trên máy bị ảnh hưởng. Điều này đưa tổng số lỗ hổng zero-day mà nhà nghiên cứu này công bố lên con số 8. Sáu lỗ hổng trước đó bao gồm RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma và MiniPlasma đều đã được vá trong sự kiện Patch Tuesday tuần này.

Microsoft xác nhận với The Register rằng họ đang biết về RoguePlanet và "đang tích cực điều tra tính hợp lệ và khả năng áp dụng của các tuyên bố này". Tuy nhiên, "gã khổng lồ Windows" chưa đưa ra phản hồi ngay lập tức về GreatXML, bao gồm cả kế hoạch phát hành bản vá. Microsoft cho biết không có lỗ hổng nào trong số này được báo cáo qua các kênh chính thức trước khi được công khai. Trước đó, công ty đã cấm tài khoản GitHub của Nightmare và dường như đã đe dọa hành động pháp lý trước khi phải giảm giọng sau sự phản đối dữ dội từ cộng đồng bảo mật.

Nightmare Eclipse, người mà một số nhà nghiên cứu cho là một cựu nhân viên của Microsoft, đang giữ một mối thù cá nhân rất lớn với gã khổng lồ phần mềm. Người này hứa hẹn sẽ tiếp tục tung ra các zero-day mới, dù thời điểm cụ thể vẫn thay đổi liên tục. Vào tháng trước, nhà nghiên cứu này từng hứa hẹn một đợt công bố lớn vào ngày 14/7, nhưng sau đó đã đổi ý do RoguePlanet tốn quá nhiều thời gian và công sức.