Một nhà nghiên cứu an ninh mạng ẩn danh, người từng công bố ba lỗ hổng Microsoft Defender, đã trở lại với hai lỗ hổng Zero-Day mới liên quan đến việc vượt qua BitLocker và leo thang đặc quyền ảnh hưởng đến Windows Collaborative Translation Framework (CTFMON).
Các lỗi bảo mật này lần lượt được nhà nghiên cứu đặt mật danh là YellowKey và GreenPlasma. Nhà nghiên cứu này sử dụng các biệt danh trực tuyến là Chaotic Eclipse và Nightmare-Eclipse.
Nhà nghiên cứu mô tả YellowKey là "một trong những khám phá điên rồ nhất mà tôi từng tìm thấy", ví việc vượt qua BitLocker này hoạt động như một backdoor, vì lỗi này chỉ tồn tại trong Windows Recovery Environment (WinRE), một khung tích hợp được thiết kế để khắc phục sự cố và sửa các lỗi hệ điều hành không thể khởi động phổ biến.
YellowKey ảnh hưởng đến Windows 11 và Windows Server 2022/2025. Về cơ bản, nó liên quan đến việc sao chép các tệp "FsTx" được tạo đặc biệt vào ổ USB hoặc phân vùng EFI, cắm ổ USB vào máy tính Windows mục tiêu đã bật bảo vệ BitLocker, khởi động lại vào WinRE và kích hoạt một shell bằng cách nhấn giữ phím CTRL.
"Tôi nghĩ sẽ mất một thời gian ngay cả với MSRC để tìm ra nguyên nhân gốc rễ thực sự của vấn đề. Tôi chưa bao giờ hiểu tại sao lỗ hổng này lại được che giấu kỹ đến vậy", nhà nghiên cứu giải thích. "Thứ hai là, không, TPM+PIN cũng không giúp ích gì, vấn đề vẫn có thể bị khai thác bất kể điều đó."
Nhà nghiên cứu bảo mật Will Dormann, trong một bài đăng chia sẻ trên Mastodon, cho biết: "Tôi đã có thể tái hiện [YellowKey] với một ổ USB được gắn vào," và nói thêm, "có vẻ như các bit Transactional NTFS trên ổ USB có khả năng xóa tệp winpeshl.ini trên MỘT Ổ ĐĨA KHÁC (X:). Và chúng ta nhận được dấu nhắc lệnh cmd.exe với BitLocker đã được mở khóa thay vì môi trường Recovery của Windows như mong đợi."
"Mặc dù việc vượt qua BitLocker chỉ dùng TPM thực sự thú vị, nhưng tôi nghĩ điểm mấu chốt quan trọng ở đây là thư mục \System Volume Information\FsTx trên một ổ đĩa có khả năng sửa đổi nội dung của một ổ đĩa khác khi nó được thực thi lại," Dormann chỉ ra. "Đối với tôi, bản thân điều này nghe có vẻ giống như một lỗ hổng bảo mật."
Lỗ hổng thứ hai được Chaotic Eclipse gắn thẻ là một trường hợp bảo mật leo thang đặc quyền có thể bị khai thác để có được một shell với quyền SYSTEM. Nó phát sinh do kết quả của những gì được mô tả là việc tạo memory section tùy ý của Windows CTFMON.
Bản Proof-of-Concept (PoC) được phát hành chưa hoàn thiện và thiếu mã cần thiết để có được một shell SYSTEM đầy đủ. Ở dạng hiện tại, exploit có thể cho phép người dùng không có đặc quyền tạo các đối tượng memory section tùy ý trong các đối tượng thư mục có quyền ghi bởi SYSTEM, tiềm ẩn khả năng cho phép thao túng các dịch vụ hoặc driver đặc quyền vốn tin tưởng ngầm các đường dẫn đó, vì người dùng thông thường không có quyền ghi vào các vị trí này.
Sự việc này diễn ra gần một tháng sau khi nhà nghiên cứu công bố ba lỗ hổng Zero-Day của Defender mang tên BlueHammer, RedSun và UnDefend, sau khi bày tỏ sự không hài lòng với cách Microsoft xử lý quy trình tiết lộ lỗ hổng. Những thiếu sót này kể từ đó đã bị khai thác tích cực trong thực tế.
Trong khi BlueHammer đã chính thức được gán mã định danh CVE-2026-33825 và được Microsoft vá vào tháng trước, Chaotic Eclipse cho biết gã khổng lồ công nghệ này dường như đã âm thầm xử lý RedSun mà không đưa ra bất kỳ cảnh báo nào.
"Tôi hy vọng ít nhất các bạn sẽ cố gắng giải quyết tình hình một cách có trách nhiệm, tôi không chắc các bạn mong đợi phản ứng gì từ tôi khi các bạn đổ thêm dầu vào lửa sau BlueHammer," nhà nghiên cứu nói. "Ngọn lửa sẽ tiếp tục cháy chừng nào các bạn muốn, trừ khi các bạn dập tắt nó hoặc cho đến khi không còn gì để cháy."
Chaotic Eclipse cũng hứa hẹn một "bất ngờ lớn" dành cho Microsoft, trùng với đợt phát hành Patch Tuesday tiếp theo vào tháng 6 năm 2026.
Khi được liên hệ để bình luận, người phát ngôn của Microsoft trước đó đã nói với The Hacker News rằng họ "có cam kết với khách hàng trong việc điều tra các vấn đề bảo mật được báo cáo và cập nhật các thiết bị bị ảnh hưởng để bảo vệ khách hàng sớm nhất có thể," và họ ủng hộ việc phối hợp tiết lộ lỗ hổng, điều mà công ty cho rằng "giúp đảm bảo các vấn đề được điều tra và giải quyết cẩn thận trước khi công bố công khai."
Phát hiện cuộc tấn công hạ cấp BitLocker
Diễn biến này xảy ra khi công ty an ninh mạng Intrinsec của Pháp chi tiết hóa một chuỗi tấn công chống lại BitLocker, tận dụng việc hạ cấp trình quản lý khởi động (boot manager downgrade) bằng cách khai thác CVE-2025-48804 (điểm CVSS: 6.8) để vượt qua lớp bảo vệ mã hóa trên các hệ thống Windows 11 đã được vá đầy đủ trong chưa đầy năm phút.
"Nguyên lý như sau: trình quản lý khởi động tải tệp System Deployment Image (SDI) và WIM được tham chiếu bởi nó, đồng thời xác minh tính toàn vẹn của WIM hợp lệ," Intrinsec cho biết.
"Tuy nhiên, khi một tệp WIM thứ hai được thêm vào SDI với bảng blob đã được sửa đổi, trình quản lý khởi động sẽ kiểm tra tệp WIM đầu tiên (hợp lệ) trong khi đồng thời khởi động từ tệp thứ hai (do kẻ tấn công kiểm soát). Tệp WIM thứ hai này chứa một hình ảnh WinRE bị nhiễm 'cmd.exe', nó sẽ thực thi với ổ đĩa BitLocker đã được giải mã."
Mặc dù các bản sửa lỗi được Microsoft phát hành vào tháng 7 năm 2025 đã bịt lỗ hổng bảo mật này, nhà nghiên cứu bảo mật Cassius Garat cho biết vấn đề nằm ở chỗ Secure Boot chỉ xác minh chứng chỉ ký của một tệp nhị phân chứ không phải phiên bản của nó. Do đó, một phiên bản lỗi của "bootmgfw.efi" không chứa bản vá và được ký bằng chứng chỉ PCA 2011 đáng tin cậy vẫn có thể được sử dụng để vượt qua các biện pháp bảo vệ BitLocker.
Đáng lưu ý là Microsoft dự kiến sẽ khai tử các chứng chỉ PCA 2011 cũ vào tháng tới. "Và miễn là nó chưa bị thu hồi, ngay cả một trình quản lý khởi động cũ, có lỗ hổng cũng có thể được tải mà không kích hoạt cảnh báo," Intrinsec lưu ý. Để thực hiện cuộc tấn công này, kẻ xấu cần có quyền truy cập vật lý vào máy mục tiêu.
Để đối phó với rủi ro, điều thiết yếu là phải bật BitLocker PIN khi khởi động để xác thực preboot, đồng thời chuyển đổi trình quản lý khởi động sang chứng chỉ CA 2023 và thu hồi chứng chỉ PCA 2011 cũ.
