Lỗ hổng YellowKey khai thác BitLocker: Mở khóa ổ cứng Windows chỉ với USB

Một nhà nghiên cứu bảo mật có biệt danh Chaotic Eclipse (hay Nightmare-Eclipse) đã công bố hai lỗ hổng zero-day mới nhắm vào hệ sinh thái của Microsoft. Động thái này được cho là sự trả đũa sau khi nhóm bảo mật của Microsoft bị cáo buộc đã bỏ qua các báo cáo về lỗ hổng trước đó của ông (BlueHammer và RedSun).

Trong số hai lỗ hổng mới được công bố, YellowKey là cái tên gây lo ngại nhất vì nó ảnh hưởng trực tiếp đến BitLocker - tính năng mã hóa ổ cứng mặc định và quan trọng trên Windows 11.

Minh họa về lỗ hổng bảo mật

YellowKey: Mở khóa BitLocker không cần mật khẩu

Theo mô tả, YellowKey cho phép kẻ tấn công truy cập hoàn toàn vào ổ cứng đã bị khóa bởi BitLocker mà không cần mật khẩu hay khóa khôi phục. Quá trình khai thác được đánh giá là "đơn giản đến mức đáng sợ" và không yêu cầu kỹ thuật lập trình cao siêu.

Để thực hiện khai thác, người ta chỉ cần thực hiện các bước sau:

• Chuẩn bị một chiếc USB bất kỳ và có quyền ghi vào thư mục "System Volume Information".
• Sao chép thư mục "FsTx" và toàn bộ nội dung của nó vào USB đó.
• Cắm USB vào máy tính mục tiêu, khởi động lại vào Windows Recovery Environment (WinRE) bằng cách nhấn Shift + Restart.
• Khi máy bắt đầu khởi động lại, giữ phím Control liên tục và không thả ra.

Sau các bước trên, máy tính sẽ tự động đưa người dùng vào một dòng lệnh (command prompt) với quyền quản trị cao nhất, cho phép truy cập toàn bộ dữ liệu trên ổ cứng BitLocker mà không hề yêu cầu xác thực bất kỳ loại nào.

Dấu hiệu của một "Cửa sau" (Backdoor)?

Điểm đáng chú ý nhất của YellowKey không chỉ nằm ở khả năng bẻ khóa, mà còn ở cách thức hoạt động của nó. Theo thử nghiệm thực tế, các tệp tin khai thác trên USB sẽ tự động biến mất sau khi được sử dụng một lần.

Hành vi này khiến nhiều người trong cộng đồng bảo mật đặt câu hỏi nghiêm trọng về việc liệu đây có phải là một "cửa sau" (backdoor) được cố ý để lại hay không. Hiện tại, lỗ hổng này đã được xác nhận hoạt động trên Windows 11, Windows Server 2022 và 2025, nhưng không ảnh hưởng đến Windows 10.

"Tôi có thể kiếm được một khoản tiền khổng lồ nếu bán lỗ hổng này, nhưng không có số tiền nào có thể ngăn cản quyết tâm của tôi đối với Microsoft," - Chaotic Eclipse chia sẻ.

Đáng lo ngại hơn, Eclipse cho biết ngay cả việc thiết lập bảo mật bằng kết hợp TPM và PIN cũng không thể ngăn chặn được phương thức tấn công này. Ông khẳng định mình đang nắm giữ một biến thể của lỗ hổng có thể vượt qua lớp bảo vệ đó, dù chưa công bố mã chứng minh (PoC).

GreenPlasma và mối đe dọa leo thang đặc quyền

Bên cạnh YellowKey, Eclipse còn công bố một lỗ hổng khác tên là GreenPlasma. Mặc dù chưa có bằng chứng khái niệm (PoC) hoàn chỉnh, nhưng lỗ hổng này được cho là thực hiện leo thang đặc quyền cục bộ (local privilege escalation).

GreenPlasma hoạt động bằng cách thao túng tiến trình CTFMon để đặt một đối tượng bộ nhớ được thiết kế riêng vào bất kỳ phần nào của Object Manager mà người dùng SYSTEM có quyền ghi. Điều này cho phép mã độc truy cập vào các vùng bộ nhớ bị hạn chế, từ đó chiếm quyền kiểm soát hoàn toàn hệ thống.

Đây là một mối đe dọa lớn đối với môi trường máy chủ, nơi bất kỳ người dùng thường nào cũng có thể lợi dụng để chiếm quyền kiểm soát server và dữ liệu của người khác.

Tình trạng hiện tại

Cho đến thời điểm này, Microsoft vẫn chưa đưa ra phản hồi chính thức nào về YellowKey hay GreenPlasma. Trước đó, lỗ hổng BlueHammer đã được vá, trong khi RedSun được cho là đã được vá âm thầm bởi Microsoft.

Với hàng triệu máy tính sử dụng BitLocker trên toàn thế giới, đặc biệt là trong các môi trường doanh nghiệp và chính phủ, người dùng được khuyên nên cảnh giác và chờ đợi bản vá bảo mật từ Microsoft trong thời gian sớm nhất.