Tuần này, Microsoft đã đưa ra bản vá tạm thời cho lỗ hổng vượt qua BitLocker “YellowKey”. Tuy nhiên, có thể còn nhiều điều đang diễn ra phía sau hậu trường.
Đầu tháng này, chúng tôi đã đưa tin về một lỗ hổng bảo mật Windows mới được phát hiện, cho phép kẻ tấn công vượt qua BitLocker. Được theo dõi với mã định danh “CVE-2026-45585”, nhà nghiên cứu phát hiện ra lỗ hổng này đã công bố một công cụ khai thác thử nghiệm (PoC) có tên là “YellowKey”. Về cơ bản, tin tặc có thể sử dụng USB để vượt qua BitLocker nhờ lỗ hổng này trong WinRE (Môi trường Khôi phục Windows) với sự trợ giúp của thư mục “FsTx”.
Nhóm Nightmare-Eclipse, đơn vị phát hiện ra lỗ hổng này, gần đây cũng đã công bố chi tiết về một lỗ hổng mới có tên “MiniPlasma” cho phép tin tặc cài đặt các bản sửa đổi Registry độc hại.
Sau những báo cáo rộng rãi về YellowKey, Microsoft tuần này đã công bố hướng dẫn giảm thiểu rủi ro của riêng mình sau khi thừa nhận sự tồn tại của nó. Trong thông báo của mình, gã khổng lồ công nghệ đã chia sẻ một đoạn mã sẽ hoạt động như một “bản vá bảo mật tạm thời” để giảm thiểu bề mặt tấn công tiềm tàng và khuyến nghị sử dụng nó cho những người lo ngại về việc thiết bị và dữ liệu của họ bị đánh cắp, chẳng hạn như nhân viên của các tổ chức mang thiết bị làm việc về nhà hoặc đi công tác.
Về biện pháp khắc phục, Microsoft giải thích: “Tập lệnh này dành cho WinRE và xóa autofstx.exe khỏi giá trị đăng ký BootExecute. Vì BootExecute chạy các chương trình rất sớm trong quá trình khởi động (ngay cả ở chế độ phục hồi), việc xóa mục này sẽ ngăn chặn tệp thực thi đó chạy trong môi trường có đặc quyền cao, giảm thiểu rủi ro. … Nó hoạt động bằng cách gắn kết WinRE, chỉnh sửa đăng ký SYSTEM ngoại tuyến của nó để xóa mục nếu có, sau đó cam kết các thay đổi một cách an toàn và niêm phong lại WinRE để sự tin cậy của BitLocker vẫn còn nguyên vẹn. … Nó được thiết kế để an toàn – nếu mục autofstx.exe không có ở đó, nó sẽ thoát mà không thực hiện thay đổi.”
Mặc dù đó là tin tốt, nhưng Microsoft dường như cũng khá khó chịu và bực mình với Nightmare-Eclipse khi họ nói rằng “bằng chứng về khái niệm của lỗ hổng này đã được công khai, vi phạm các thực tiễn tốt nhất về bảo mật lỗ hổng phối hợp.”
Nhà nghiên cứu cũng không hài lòng với phản hồi này, họ đã viết trên blog của mình như sau: “Kính gửi Microsoft, liên quan đến CVE-2026-45585, … Việc nói rằng tôi vi phạm các thực tiễn tốt nhất của CVD là phỉ báng danh tiếng cá nhân của tôi, các bạn đã nói với tôi rằng các bạn sẽ phỉ báng tôi và việc làm điều đó công khai sẽ không giúp giải quyết xung đột này. … Các bạn đã cố tình thu hồi quyền truy cập của tôi vào tài khoản MSRC mà tôi đã sử dụng để báo cáo các lỗ hổng cho các bạn, khi tôi yêu cầu, các bạn đã tự ý xóa hoàn toàn tài khoản đó mặc dù tôi đã nhiều lần yêu cầu giải thích. Tất cả những yêu cầu đó đều không được lãnh đạo MSRC trả lời. … Tôi cảm thấy rất bị xúc phạm khi nghe tuyên bố của các bạn.”
Do đó, Nightmare-Eclipse về cơ bản đã đổ lỗi ngược lại cho Microsoft, cho rằng đó là lỗi của công ty ngay từ đầu. Sẽ rất thú vị để xem mọi việc sẽ diễn biến như thế nào từ đây.