Nhà nghiên cứu bí ẩn tiếp tục "đổ bộ" hàng loạt lỗ hổng zero-day của Microsoft

Nhà nghiên cứu bảo mật ẩn danh, người trước đây đã công bố ba lỗ hổng zero-day của Windows trong năm nay, vừa tiết lộ thêm hai lỗi mới chỉ ngay sau đợt cập nhật Patch Tuesday hàng tháng của Microsoft.

Nightmare-Eclipse (hay còn gọi là Chaotic Eclipse) đã tung ra chi tiết kỹ thuật về YellowKey và GreenPlasma. Đây tương ứng là một lỗ hổng vượt qua bảo mật BitLocker và một lỗi leo thang đặc quyền, cho phép kẻ tấn công giành quyền truy cập SYSTEM trên máy tính nạn nhân.

Các chuyên gia bảo mật nhận định rằng cả hai lỗ hổng này đều gây ra những lo ngại nghiêm trọng, đặc biệt là khi Nightmare-Eclipse đã cung cấp lượng lớn thông tin kỹ thuật về cách khai thác chúng.

YellowKey: Cánh cửa sau của BitLocker?

Nightmare-Eclipse mô tả YellowKey là "một trong những phát hiện điên rồ nhất" mà họ từng tìm thấy. Lỗ hổng này yêu cầu kẻ tấn công phải có quyền truy cập vật lý vào máy tính Windows. Bằng cách sử dụng các tệp tin được tải lên ổ USB và thực hiện đúng chuỗi phím, kẻ tấn công có thể nhận được quyền truy cập shell không giới hạn vào máy tính được bảo vệ bởi BitLocker.

Thông thường, các lỗi yêu cầu truy cập vật lý thường được đánh giá thấp hơn. Tuy nhiên, vì BitLocker đóng vai trò là lớp phòng thủ cuối cùng cho các thiết bị bị mất cắp, việc vượt qua công nghệ này cho phép những tên trộm truy cập trực tiếp vào các tệp tin đã mã hóa.

Rik Ferguson, Phó chủ tịch tình báo bảo mật tại Forescout, nhận định:

"Nếu [lời khẳng định của nhà nghiên cứu] là đúng, một chiếc laptop bị đánh cắp sẽ không còn là vấn đề về phần cứng nữa mà trở thành một thông báo vi phạm dữ liệu."

Gavin Knapp, chuyên gia dẫn đầu về tình báo đe dọa mạng tại Bridewell, cho biết dù yêu cầu truy cập vật lý, YellowKey vẫn là "một vấn đề bảo mật lớn đối với các tổ chức sử dụng BitLocker". Ông đề xuất rằng nguy cơ này có thể được giảm thiểu bằng cách thiết lập PIN BitLocker và khóa mật khẩu BIOS.

Đáng chú ý, Nightmare-Eclipse còn gợi ý rằng YellowKey có thể là một cửa sau (backdoor) do Microsoft cài đặt, mặc dù các chuyên gia cho rằng hiện chưa thể xác nhận thông tin này dựa trên dữ liệu có sẵn.

GreenPlasma và nguy cơ leo thang đặc quyền

Ngoài YellowKey, nhà nghiên cứu này còn công bố một phần mã khai thác cho GreenPlasma, một lỗ hổng leo thang đặc quyền, thay vì một bằng chứng khái niệm (PoC) hoàn chỉnh.

Ferguson lưu ý rằng kẻ tấn công cần phải tự phát triển mã từ những gì được cung cấp, đây không phải là một nhiệm vụ dễ dàng. Trong trạng thái hiện tại, mã này sẽ kích hoạt lời nhắc đồng ý của UAC trong cấu hình mặc định của Windows, nghĩa là việc khai thác âm thanh vẫn đang trong quá trình phát triển.

Tuy nhiên, Knapp cảnh báo rằng các loại lỗ hổng leo thang đặc quyền như thế này thường bị tin tặc sử dụng sau khi đã xâm nhập ban đầu vào hệ thống của nạn nhân.

"Những lỗ hổng leo thang đặc quyền này thường được vũ khí hóa trong giai đoạn sau khai thác để cho phép các tác nhân đe dọa phát hiện và thu thập thông tin đăng nhập cũng như dữ liệu, trước khi di chuyển ngang sang các hệ thống khác, hướng tới mục tiêu cuối cùng như đánh cắp dữ liệu và/hoặc triển khai mã độc tống tiền," ông nói.

Hiện tại, chưa có biện pháp giảm thiểu nào được biết đến cho GreenPlasma. Người dùng sẽ cần chờ Microsoft phát hành bản vá để khắc phục vấn đề này.

Chiến dịch trả đũa?

YellowKey và GreenPlasma là những cái tên mới nhất trong chuỗi năm lỗ hổng zero-day của Microsoft mà nhà nghiên cứu này đã công bố trong năm nay.

Khi Nightmare-Eclipse tung ra BlueHammer (CVE-2026-32201) vào tháng 4, họ được mô tả là một nhà nghiên cứu bất mãn và có tin đồn rằng đây là một cựu nhân viên của Microsoft.

Theo bài đăng đầu tiên dưới bí danh Chaotic Eclipse, việc rò rỉ mã này bắt đầu sau một sự vi phạm niềm tin alleged.

"Tôi chưa bao giờ muốn mở lại blog và tài khoản GitHub mới để tung ra mã," họ viết. "Nhưng ai đó đã vi phạm thỏa thuận của chúng tôi và khiến tôi trở nên vô gia cư, không còn gì cả. Họ biết điều này sẽ xảy ra và vẫn cứ sau lưng tôi, đây là quyết định của họ chứ không phải của tôi."

Vào đầu tháng 4, nhà nghiên cứu này cũng đã rò rỉ mã khai thác cho các lỗi của Windows Defender mang tên RedSun và UnDefend. Cả hai lỗi này vẫn chưa được khắc phục và theo Huntress, mã khai thác đã nhanh chóng bị lợi dụng trong các cuộc tấn công thực tế.

Ferguson mô tả việc công bố YellowKey và GreenPlasma là bước mới nhất trong một chiến dịch trả đũa leo thang chống lại Microsoft và cảnh báo về nhiều điều sắp tới.

"Các bản phát hành trước đó bao gồm BlueHammer và RedSun, cả hai đều thu hút sự chú ý lớn của cộng đồng và được phân nhánh phát triển thực tế," ông nói. "Bài đăng liên kết đến các bản phát hành hôm qua cũng cảnh báo về một bất ngờ khác trong Patch Tuesday và gợi ý về việc công bố thêm các lỗ hổng thực thi mã từ xa (RCE). Họ tuyên bố sở hữu một 'công tắc người chết' (dead man's switch) với nhiều mã khác đã sẵn sàng. Nhà nghiên cứu này đã thực hiện đúng mọi lời đe dọa trước đó."