Nhà nghiên cứu công bố hai lỗ hổng zero-day nguy hiểm trên Windows: YellowKey và GreenPlasma

Một nhà nghiên cứu bảo mật có biệt danh Chaotic Eclipse (còn gọi là Nightmare Eclipse) đã công bố mã khai thác khái niệm (PoC) cho hai lỗ hổng zero-day nghiêm trọng ảnh hưởng đến Windows. Động thái này được cho là phản ứng của nhà nghiên cứu đối với cách xử lý báo cáo lỗ hổng của Microsoft trong quá khứ.

Màn hình lỗi Windows

YellowKey: Vượt qua BitLocker dễ dàng

YellowKey là lỗ hổng đầu tiên được công bố, cho phép kẻ tấn công vượt qua tính năng mã hóa toàn bộ ổ đĩa BitLocker của Windows 11. BitLocker thường dựa vào mô-đun TPM (Trusted Platform Module) để bảo vệ dữ liệu nếu thiết bị bị mất hoặc bị đánh cắp.

Tuy nhiên, YellowKey yêu cầu kẻ tấn công phải có quyền truy cập vật lý vào máy tính. Quy trình khai thác bắt đầu bằng việc sao chép một thư mục PoC vào ổ USB hoặc phân vùng EFI, sau đó khởi động lại máy vào Môi trường khôi phục Windows (WinRE).

Bảo mật Windows

Kẻ tấn công giữ phím Shift trong khi nhấp vào "Restart", sau đó thả Shift và giữ phím Ctrl cho đến khi cửa sổ dòng lệnh (command prompt) xuất hiện. Tại đây, họ có thể truy cập vào ổ đĩa được bảo vệ mà không cần mật khẩu.

Chaotic Eclipse cho rằng vấn đề này có thể là một "cửa sau" (backdoor) được cài đặt cố ý, vì thành phần gây ra lỗi này chỉ tồn tại trong hình ảnh WinRE và không được tìm thấy ở bất kỳ đâu khác trên internet. Nhiều chuyên gia bảo mật uy tín như Kevin Beaumont và Will Dormann đã xác nhận lỗ hổng này hoạt động trên các bản dựng Windows 11 mới nhất.

Đáng lo ngại hơn, nhà nghiên cứu cảnh báo rằng YellowKey cũng hoạt động trên các thiết bị được bảo vệ bằng mã PIN TPM, mặc dù mã PoC cho phương thức tấn công này chưa được công bố chi tiết.

GreenPlasma: Leo thang đặc quyền lên System

Lỗ hổng thứ hai, GreenPlasma, tập trung vào việc leo thang đặc quyền. Nó cho phép kẻ tấn công nâng quyền truy cập của mình lên mức System - quyền cao nhất trên hệ điều hành Windows.

Mặc dù PoC được công bố đã bị loại bỏ một số mã quan trọng để ngăn chặn việc tạo shell hoàn toàn, nó vẫn cho thấy khả năng tạo đối tượng phần bộ nhớ trong bất kỳ thư mục nào có thể ghi bởi System. Điều này có thể được sử dụng để thao túng các dịch vụ Windows, bao gồm cả các trình điều khiển chế độ kernel.

Joshua Roback, kiến trúc sư giải pháp bảo mật tại Swimlane, nhận định: "Bất kỳ con đường nào dẫn đến đặc quyền System đều đáng được xem xét kỹ lưỡng. Nếu được khai thác hoàn toàn, việc leo thang đặc quyền này có thể cho phép kẻ tấn công vô hiệu hóa các biện pháp bảo vệ, thao túng quy trình đáng tin cậy hoặc triển khai phần mềm độc hại."

Nguy cơ từ việc công khai mã khai thác

Việc công khai mã PoC cho các lỗ hổng zero-day luôn làm thay đổi cân bằng rủi ro. Ross Filipek, CISO của Corsica Technologies, cho biết các mã này giúp tin tặc vũ khí hóa nhanh chóng các khai thác của riêng họ.

"Việc phát hành zero-day công cộng luôn thu hẹp khoảng thời gian giữa việc phát hiện và khai thác," Filipek nói. "Trong trường hợp này, YellowKey và GreenPlasma phơi bày hai mối lo ngại khác nhau nhưng có liên quan: quyền truy cập vào dữ liệu được bảo vệ và tiềm năng leo thang đặc quyền."

Vào đầu tháng 4, Chaotic Eclipse cũng từng công bố mã khai thác cho BlueHammer, một lỗi bảo mật của Windows Defender mà Microsoft đã vá sau đó. SecurityWeek đã liên hệ với Microsoft để xin bình luận và sẽ cập nhật bài viết nếu có phản hồi.