top of page
Tìm kiếm

Phát hiện hai lỗ hổng bảo mật nghiêm trọng đe dọa Windows và tính năng mã hóa BitLocker

Mối bất hòa giữa các nhà nghiên cứu bảo mật và các tập đoàn công nghệ lớn đôi khi có thể dẫn đến những hậu quả nghiêm trọng. Gần đây, sau khi các báo cáo bảo mật của mình bị đội ngũ của Microsoft từ chối, một nhà nghiên cứu có biệt danh Chaotic Eclipse (hoặc Nightmare-Eclipse) đã liên tiếp công khai các lỗ hổng nghiêm trọng chưa được vá (zero-day) như một hành động đáp trả. Tiếp sau hai lỗ hổng trước đó là BlueHammer và RedSun, nhà nghiên cứu này vừa tiếp tục công bố hai lỗ hổng mới mang tên YellowKey và GreenPlasma, trực tiếp đe dọa đến hệ thống bảo mật của Windows.

YellowKey: Vô hiệu hóa mã hóa BitLocker bằng vài tệp tin trên USB

YellowKey là một lỗ hổng đặc biệt nguy hiểm nhắm thẳng vào BitLocker – công cụ mã hóa ổ đĩa quen thuộc được hàng triệu người dùng cá nhân, doanh nghiệp và chính phủ tin dùng để bảo vệ dữ liệu.

Cách thức kích hoạt lỗ hổng này vô cùng đơn giản và đã được thử nghiệm xác thực tính hiệu quả. Kẻ tấn công chỉ cần chuẩn bị một chiếc USB thông thường, truy cập vào thư mục hệ thống có tên "System Volume Information" và sao chép một thư mục có tên "FsTx" cùng toàn bộ nội dung của nó vào đó.

Quy trình vượt qua bức tường bảo mật diễn ra như sau:

  • Cắm USB vào máy tính mục tiêu.

  • Chọn khởi động lại máy (Restart) đồng thời nhấn giữ phím Shift để hệ thống truy cập vào môi trường phục hồi (Windows Recovery Environment).

  • Ngay sau đó, chuyển sang nhấn giữ phím Control và không thả ra.

Hệ thống sẽ lập tức khởi động lại mà không hiển thị bất kỳ menu lựa chọn hay yêu cầu xác thực nào. Thay vào đó, máy tính sẽ đưa thẳng người dùng vào một giao diện dòng lệnh (command line) với quyền hạn tối cao. Tại đây, kẻ tấn công có thể truy cập toàn bộ dữ liệu trên ổ đĩa vốn được BitLocker bảo vệ mà không cần đến bất kỳ mã khóa nào.

Truy cập ổ đĩa được BitLocker bảo vệ thông qua command line mà không cần mã khóa
Truy cập ổ đĩa được BitLocker bảo vệ thông qua command line mà không cần mã khóa

Đáng chú ý, các tệp tin dùng để khai thác trên USB sẽ tự động biến mất sau một lần sử dụng. Đặc điểm này mang đậm dấu vết của một "cửa sau" (backdoor) được cài cắm tinh vi, đặt ra nhiều câu hỏi lớn về mặt an ninh. Lỗ hổng YellowKey được xác nhận là hoạt động trên cả Windows Server 2022 và Windows Server 2025, nhưng không ảnh hưởng đến hệ điều hành Windows 10.

Mức độ ảnh hưởng thực tế đối với người dùng

Do BitLocker được kích hoạt mặc định trên Windows 11, phạm vi ảnh hưởng của lỗ hổng này là vô cùng lớn. Về mặt kỹ thuật, kẻ tấn công không thể tháo rời ổ cứng từ máy tính này để cắm sang một máy tính khác nhằm đánh cắp dữ liệu, bởi vì các khóa mã hóa vẫn nằm an toàn trong chip bảo mật (TPM) của máy gốc. Tuy nhiên, nếu kẻ gian lấy cắp toàn bộ thiết bị (như laptop, máy tính để bàn mini hoặc máy tính thùng), dữ liệu bên trong sẽ hoàn toàn bị kiểm soát.

Do BitLocker được kích hoạt mặc định trên Windows 11, phạm vi ảnh hưởng của lỗ hổng này là vô cùng lớn
Do BitLocker được kích hoạt mặc định trên Windows 11, phạm vi ảnh hưởng của lỗ hổng này là vô cùng lớn

Nhà nghiên cứu Chaotic Eclipse cũng lưu ý thêm rằng, việc thiết lập bảo mật nghiêm ngặt bằng cách kết hợp cả chip TPM và mã PIN cũng không thể ngăn chặn được cuộc tấn công. Họ khẳng định đã có phương án bẻ khóa cho kịch bản này nhưng chưa công bố mã khai thác chi tiết. Lỗ hổng này được che giấu rất kỹ và có thể bán được với mức giá cực kỳ cao trên thị trường đen, nhưng nhà nghiên cứu đã chọn công khai vì mục tiêu đối đầu với Microsoft.

GreenPlasma: Lỗ hổng leo thang đặc quyền kiểm soát hệ thống

Song song với YellowKey, lỗ hổng thứ hai mang tên GreenPlasma cũng được công bố. Mặc dù chưa có mã khai thác thử nghiệm hoàn chỉnh, nhưng dựa trên các phát hiện chính xác trước đó của Eclipse, giới công nghệ nhận định lỗ hổng này hoàn toàn có thật.

GreenPlasma là lỗ hổng leo thang đặc quyền cục bộ. Nó cho phép một tài khoản người dùng bình thường có thể chiếm quyền điều khiển cao nhất của hệ thống - cấp độ SYSTEM (thậm chí còn cao hơn cả quyền quản trị viên - Administrator).

Cơ chế hoạt động của GreenPlasma bao gồm:

  • Thao túng tiến trình hệ thống có tên CTFMon.

  • Đưa một đối tượng phân vùng bộ nhớ được chỉnh sửa đặc biệt (được dùng để chia sẻ giữa các tiến trình hoặc ánh xạ vào tệp tin) vào cấu trúc quản lý của Windows (Object Manager section).

  • Phân vùng này nằm trong khu vực mà tài khoản SYSTEM có quyền ghi, từ đó giúp mã khai thác vượt qua các cơ chế kiểm soát truy cập thông thường.

Khi đã xâm nhập vào vùng bộ nhớ cấm, mã độc có thể thực hiện nhiều hành vi phá hoại và thâu tóm toàn bộ máy tính. Lỗ hổng này không chỉ nguy hiểm với máy tính cá nhân mà còn là thảm họa đối với môi trường máy chủ (server) – nơi một người dùng thông thường có thể lợi dụng để kiểm soát toàn bộ máy chủ và tiếp cận dữ liệu của tất cả các tài khoản khác.

Tính đến thời điểm các thông tin này được chia sẻ, Microsoft vẫn chưa đưa ra phản hồi hay thông báo chính thức nào về hai lỗ hổng YellowKey và GreenPlasma.

Đối với các phát hiện trước đó của Chaotic Eclipse, lỗ hổng BlueHammer hiện đã được vá lỗi thành công. Trong khi đó, lỗ hổng RedSun được cho là đã được Microsoft âm thầm xử lý, dù tập đoàn này chưa từng đưa ra tuyên bố xác nhận cụ thể.

Bình luận

conact-ipsip-vietnam
zalo
đặt lịch hẹn
linkedin ipsip vietnam
LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên h��ệ
Dịch vụ nổi bật

Giải pháp cho SMEs

SOC 24/7

NOC 24/7

IT Support

An ninh mạng
Cloud

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page