Cảnh báo: Chuỗi lỗ hổng Zero-day đe dọa lớp phòng vệ BitLocker trên Windows

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
140
1.893 bài viết
Cảnh báo: Chuỗi lỗ hổng Zero-day đe dọa lớp phòng vệ BitLocker trên Windows
WhiteHat Team
Một loạt lỗ hổng zero-day vừa được công bố đang đặt lại câu hỏi về mức độ an toàn thực sự của BitLocker và chuỗi khởi động Windows. Trong các thử nghiệm được tiết lộ, kẻ tấn công không chỉ có thể vượt qua cơ chế mã hóa ổ đĩa, mà còn có khả năng mở phiên dòng lệnh ngay trong môi trường khôi phục hệ thống, từ đó vô hiệu hóa gần như toàn bộ lớp bảo vệ ở cấp độ boot.
thay the.png

Các phát hiện này xuất hiện khi Windows 11 và Windows Server 2022/2025 tiếp tục bị nhắm tới bởi các nghiên cứu khai thác sâu vào WinRE, Secure Boot và cơ chế phân quyền nội bộ, vốn được xem là hàng rào cuối cùng của hệ điều hành.

Một nhà nghiên cứu có biệt danh Chaotic Eclipse - người từng công bố nhiều lỗ hổng Microsoft Defender trước đó, mới đây đã tiết lộ hai zero-day trên Windows liên quan đến cơ chế vượt qua BitLocker và leo thang đặc quyền, với tên gọi YellowKey và GreenPlasma.

YellowKey được đánh giá là nghiêm trọng nhất khi ảnh hưởng trực tiếp đến Windows Recovery Environment (WinRE), môi trường khôi phục dùng khi hệ điều hành gặp sự cố khởi động. Theo mô tả, khai thác có thể được thực hiện thông qua USB hoặc phân vùng EFI chứa các tệp FsTx được chuẩn bị sẵn. Khi máy khởi động vào WinRE, kẻ tấn công có thể kích hoạt giao diện dòng lệnh trong quá trình boot. Điểm đáng chú ý là BitLocker vẫn có thể bị vượt qua trong kịch bản này, ngay cả khi hệ thống sử dụng TPM kết hợp PIN. Điều này đồng nghĩa lớp mã hóa ổ đĩa không còn đảm bảo an toàn trong các tình huống có truy cập vật lý.

Phân tích ban đầu cho thấy vấn đề có thể liên quan đến Transactional NTFS (TxF), khi dữ liệu từ một USB có thể ảnh hưởng sang phân vùng khác trong quá trình WinRE xử lý. Cơ chế này dẫn đến khả năng thay đổi tệp cấu hình khởi động, từ đó tạo điều kiện mở shell trong môi trường mà BitLocker đã bị giải mã.

Lỗ hổng thứ hai, GreenPlasma, liên quan đến Windows CTFMON và được mô tả là lỗi tạo đối tượng vùng nhớ tùy ý. Trong kịch bản khai thác, người dùng không có quyền có thể tạo memory section object trong các thư mục mà tiến trình hệ thống tin tưởng. Dù proof-of-concept hiện tại chưa hoàn chỉnh để đạt quyền SYSTEM, cấu trúc kỹ thuật cho thấy khả năng leo thang đặc quyền là rõ ràng nếu được phát triển đầy đủ, đặc biệt trong các môi trường có dịch vụ hoặc driver tin tưởng sai đường dẫn hệ thống.

Trước đó, cùng nhà nghiên cứu này từng công bố loạt lỗ hổng Microsoft Defender gồm BlueHammer, RedSun và UnDefend. Trong đó BlueHammer đã được gán mã CVE-2026-33825 và được Microsoft phát hành bản vá, trong khi RedSun được cho là đã được xử lý âm thầm mà không có thông báo chính thức. Nhà nghiên cứu cũng cho biết có thể tiếp tục công bố thêm các phát hiện mới trong chu kỳ Patch Tuesday sắp tới.

Song song với nhóm zero-day này, công ty an ninh mạng Intrinsec cũng ghi nhận một chuỗi tấn công khác nhằm vào BitLocker, khai thác lỗ hổng hạ cấp boot manager liên quan đến CVE-2025-48804.

Kịch bản tấn công tận dụng cách Windows Boot Manager xử lý các file System Deployment Image (SDI) và Windows Imaging Format (WIM). Trong một số trường hợp, hệ thống kiểm tra một WIM hợp lệ nhưng lại khởi động từ một WIM khác đã bị chỉnh sửa, dẫn đến việc thực thi mã độc trong môi trường WinRE với quyền truy cập vào phân vùng đã được giải mã BitLocker.

Dù Microsoft đã phát hành bản vá trong năm 2025, các chuyên gia cảnh báo Secure Boot vẫn tồn tại hạn chế khi chủ yếu dựa vào chữ ký số thay vì kiểm tra phiên bản thành phần. Điều này khiến các bootloader cũ vẫn có thể bị lợi dụng nếu còn được ký hợp lệ.

Các chuyên gia khuyến nghị biện pháp quan trọng nhất là kích hoạt BitLocker kèm PIN khởi động để tăng lớp xác thực trước boot, đồng thời đảm bảo hệ thống đã chuyển sang chứng chỉ CA 2023 và thu hồi PCA 2011. Đây là bước quan trọng nhằm ngăn chặn các kịch bản hạ cấp chuỗi khởi động – một trong những kỹ thuật phổ biến để vượt qua BitLocker trong tấn công vật lý.

Sự xuất hiện liên tiếp của các lỗ hổng liên quan đến WinRE, Secure Boot và BitLocker cho thấy bề mặt tấn công ở tầng khởi động Windows vẫn còn nhiều điểm yếu phức tạp. Khi lớp bảo vệ cốt lõi có thể bị tác động ngay trước khi hệ điều hành khởi động, ranh giới giữa hệ thống “được mã hóa” và “có thể bị truy cập” trở nên mong manh hơn đáng kể.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Toàn cảnh sự cố AI “xóa sổ” PocketOS trong 9s
  • Cảnh báo lỗ hổng Fragnesia: Nguy cơ leo thang đặc quyền root trên Linux
  • Cảnh báo: Lỗ hổng Sandboxie cho phép chiếm quyền hệ thống
  • Cảnh báo lỗ hổng nghiêm trọng trên PAN-OS đang bị khai thác ngoài thực tế
  • Cảnh báo chiêu trò lừa đảo đặt cọc ngoài sàn khi mua hàng trên Shopee
  • Cảnh báo khẩn: Lỗi Apache HTTP/2 cho phép tấn công RCE chỉ với 1 kết nối
    • Thẻ
    bitlocker bypass ctfmon efi partition fstx greenplasma privilege escalation secure boot transactional ntfs windows 11 windows recovery environment windows server 2022 windows server 2025 windows zero-day winre yellowkey
    Bên trên