Microsoft tung ra biện pháp khắc phục lỗ hổng 'YellowKey' vượt qua BitLocker

Microsoft vừa tung ra các biện pháp khắc phục cho lỗ hổng bảo mật mang tên YellowKey, một lỗ hổng zero-day vừa được công bố gần đây có thể dẫn đến việc vượt qua tính năng mã hóa BitLocker.

Vấn đề này hiện đang được theo dõi dưới mã định danh CVE-2026-45585 với điểm số CVSS là 6.8. Lỗ hổng này có thể được kích hoạt bởi một kẻ tấn công có quyền truy cập vật lý vào hệ thống bằng cách sử dụng ổ USB chứa mã khai thác YellowKey đã được phát hành công khai và khởi động lại hệ thống vào chế độ phục hồi.

Microsoft Vulnerabilities

Thay vì hiển thị Môi trường phục hồi Windows (WinRE) thông thường cho người dùng, mã khai thác sẽ tạo ra một shell (giao diện dòng lệnh), cung cấp quyền truy cập vào nội dung của phân vùng ổ đĩa bên dưới mà không còn sự bảo vệ của mã hóa BitLocker.

Trong bản tư vấn bảo mật của mình, Microsoft đã thừa nhận sự tồn tại của mã khai thác công khai này và tác động của nó: "Một kẻ tấn công thành công có thể vượt qua tính năng Mã hóa Thiết bị BitLocker trên thiết bị lưu trữ hệ thống. Kẻ tấn công có quyền truy cập vật lý vào mục tiêu có thể khai thác lỗ hổng này để truy cập vào dữ liệu được mã hóa."

Quy trình khắc phục của Microsoft

Trong bản tư vấn, gã khổng lồ công nghệ đã hướng dẫn các quản trị viên thực hiện quy trình nhiều giai đoạn để bảo vệ hệ thống. Quy trình này bao gồm việc gắn kết (mount) hình ảnh WinRE trên mỗi thiết bị, gắn kết tổ chức đăng ký hệ thống (system registry hive) của hình ảnh đó, xóa tệp autofstx.exe khỏi tổ chức đã gắn kết, gắn kết lại hình ảnh đã cập nhật và thiết lập lại sự tin cậy của BitLocker cho WinRE.

Security Concept

Công ty cũng khuyến nghị người dùng nên thêm mã PIN vào BitLocker để tăng cường bảo mật. Tuy nhiên, nhà nghiên cứu bảo mật Chaotic Eclipse - người đã công bố mã khai thác này cùng với một số lỗ hổng zero-day khác của Windows - tuyên bố rằng YellowKey vẫn hoạt động hiệu quả trên các hệ thống mà ở đó sự bảo vệ của TPM (Mô-đun Nền tảng Đáng tin cậy) đã được bổ sung thêm mã PIN.

Phân tích từ chuyên gia

Theo Will Dormann, chuyên gia phân tích lỗ hổng cấp cao tại Tharros Labs, các biện pháp giảm thiểu mà Microsoft tung ra thực chất có hiệu quả bằng cách ngăn chặn tiện ích FsTx Auto Recovery (autofstx.exe) tự động chạy trong quá trình khởi tạo hình ảnh WinRE.

Về mặt kỹ thuật, Dormann giải thích rằng lỗ hổng cơ bản liên quan đến việc kích hoạt FsTx từ ổ USB khi nhập Windows Recovery để xóa tệp winpeshl.ini - tệp về cơ bản kiểm soát hành vi của WinRE.

Mã khai thác YellowKey chứa một thư mục FsTx mà khi được đặt trên ổ USB, sẽ dựa vào tính năng Transactional NTFS replay để xóa tệp winpeshl.ini trong thư mục System32. Kết quả là kẻ tấn công sẽ nhận được một cửa sổ dòng lệnh với BitLocker đã được mở khóa, thay vì chế độ phục hồi thông thường.

"Mặc dù việc vượt qua BitLocker chỉ dùng TPM thực sự thú vị, nhưng tôi nghĩ rằng điểm mấu chốt bị chôn vùi ở đây là một thư mục \System Volume Information\FsTx trên một ổ có khả năng sửa đổi nội dung của một ổ khác khi nó được phát lại. Đối với tôi, bản thân điều này nghe giống như một lỗ hổng," Dorm nhận định.