Một chiếc máy tính xách tay Windows 11 bị đánh cắp và một chiếc USB là đủ để đọc ổ đĩa được mã hóa BitLocker chỉ bằng các công cụ phục hồi của chính Microsoft, và công cụ này cũng vô hiệu hóa mã PIN khởi động mà các nhà bảo vệ đang cố gắng kích hoạt để đối phó.
Xin chân thành cảm ơn Stas Lyakhov và John Loucaides vì những đóng góp.
Cách thực hiện:
Sao chép thư mục FsTx vào “USB của bạn:\System Volume Information\FsTx” đảm bảo sử dụng hệ thống tệp tương thích với Windows (NTFS là tốt nhất nhưng tôi nghĩ FAT32/exFAT cũng hoạt động). Điều buồn cười là, lỗ hổng này cực kỳ dễ khai thác, bạn thậm chí không cần cắm thiết bị lưu trữ ngoài, chỉ cần rút ổ đĩa ra, sao chép các tệp trong phân vùng EFI, cắm lại và nó vẫn hoạt động. Mức độ nghiêm trọng của nó là như vậy.
Cắm USB vào máy tính Windows cần bypass với tính năng bảo vệ Bitlocker được bật.
Khởi động lại vào Môi trường Khôi phục Windows (bạn có thể làm điều đó bằng cách giữ phím SHIFT và nhấp vào nút khởi động lại bằng chuột).
Sau khi nhấp vào nút khởi động lại, nhả phím SHIFT và giữ phím CRTL, KHÔNG nhả phím CRTL.
Nếu bạn làm mọi thứ đúng cách, một command shell sẽ được tạo ra với quyền truy cập không hạn chế vào phân vùng được bảo vệ bằng Bitlocker.
Lỗ hổng là gì?
YellowKey là một lỗ hổng vượt qua BitLocker được tiết lộ vào tháng 5 năm 2026 bởi một nhà nghiên cứu hoạt động dưới tên Chaotic Eclipse (Nightmare-Eclipse trên GitHub), và nó lợi dụng hành vi được tích hợp trong Windows RE để cấp quyền truy cập hoàn toàn vào các ổ đĩa mà hệ điều hành vẫn coi là được mã hóa. Điểm yếu là thư mục System Volume Information\FsTx mà WinRE tìm kiếm trên thiết bị lưu trữ được gắn ngoài, vì Windows sẽ đọc lại các logs NTFS được tìm thấy ở đó trong quá trình khởi động phục hồi, và các nhật ký được cung cấp sẽ xóa winpeshl.ini, khiến môi trường phục hồi chuyển sang khởi chạy cmd.exe thay vì giao diện phục hồi bị khóa. Vào thời điểm lớp vỏ bảo mật xuất hiện, ổ đĩa hệ điều hành đã được TPM giải mã một cách minh bạch, nghĩa là kẻ tấn công thừa hưởng một hệ thống tập tin hoàn toàn có thể đọc được với các công cụ quản trị trong tay. Nhà nghiên cứu công khai mô tả đây là hành vi giống như backdoor vì thành phần chịu trách nhiệm tồn tại trong WinRE với chức năng có thể khai thác hoàn toàn.
Liệu nó đã được vá lỗi chưa?
Tại thời điểm công bố, vấn đề này chưa được vá lỗi và chưa có CVE nào được chỉ định. Vào ngày 19 tháng 5 năm 2025, Microsoft đã công bố thừa nhận lỗ hổng với hướng dẫn khắc phục và ban hành CVE-2026-45585. Trước đó, chỉ có một tuyên bố chung chung về cam kết công bố phối hợp, chứ không phải là một mốc thời gian khắc phục, mặc dù README ghi công các nhóm MORSE, MSTIC và Microsoft GHOST theo cách cho thấy ít nhất một số nhận thức nội bộ trước khi công bố. Các chuyên gia bảo mật nên lên kế hoạch dựa trên giả định rằng giảm thiểu rủi ro, chứ không phải khắc phục, sẽ là phương án hoạt động trong tương lai gần, vì ngay cả sau khi ban hành CVE, Microsoft vẫn chưa phát hành bản vá lỗi nào tại thời điểm bài viết này được công bố.
Những hệ thống nào bị ảnh hưởng?
Lỗ hổng này ảnh hưởng đến Windows 11 trên tất cả các bản dựng được nhà nghiên cứu thử nghiệm, cũng như Windows Server 2022 và Windows Server 2025, trong khi Windows 10 được báo cáo là không bị ảnh hưởng vì thành phần WinRE chịu trách nhiệm hoạt động khác nhau trong mã nguồn đó. Các hệ thống tệp dễ bị tổn thương trên phương tiện do kẻ tấn công cung cấp bao gồm NTFS, FAT32 và exFAT.
Cuộc tấn công hoạt động như thế nào và các đường dẫn tấn công là gì?
Cuộc tấn công yêu cầu truy cập vật lý vào thiết bị, nhưng định nghĩa về truy cập vật lý ở đây rộng hơn so với hầu hết các nhóm tính đến trong mô hình mối đe dọa của họ, vì nhà nghiên cứu đã chứng minh ba phương pháp tấn công khác nhau đều dẫn đến cùng một kết quả.
- Phương pháp đầu tiên là sử dụng một USB chứa thư mục độc hại FsTx bên trong thư mục System Volume Information, cắm vào máy tính đang hoạt động hoặc đã tắt nguồn. Kẻ tấn công sau đó buộc phải truy cập vào WinRE bằng tổ hợp phím SHIFT+Restart, tiếp theo là giữ phím CTRL trong khi khởi động lại.
- Phương pháp thứ hai bỏ qua hoàn toàn phương tiện lưu trữ di động và ghi trực tiếp cùng một mã độc vào phân vùng hệ thống EFI trên ổ đĩa trong của máy tính mục tiêu, mà bất kỳ người dùng nào có quyền quản trị hoặc bất kỳ kẻ tấn công nào có quyền truy cập console tạm thời thông qua phương tiện phục hồi đều có thể truy cập được.
- Phương pháp thứ ba, và là phương pháp phù hợp nhất với các kịch bản “kẻ phá hoại” và giả định thiết bị bị mất hoặc bị đánh cắp, chỉ đơn giản là tháo thiết bị lưu trữ khỏi máy, gắn nó vào phần cứng do kẻ tấn công kiểm soát, ghi mã độc vào phân vùng EFI và trả ổ đĩa về hệ thống ban đầu. Sau khi hoàn tất bất kỳ phương pháp nào trong số này và hệ thống khởi động vào WinRE, nhật ký NTFS sẽ xóa tệp winpeshl.ini, shell phục hồi sẽ chuyển sang cmd.exe, và kẻ tấn công hiện có quyền truy cập tương tác vào một ổ đĩa mà BitLocker vẫn cho rằng được bảo vệ.
Bản phát hành công khai chỉ vô hiệu hóa cấu hình BitLocker mặc định chỉ sử dụng TPM được cài đặt sẵn trên hầu hết các máy tính cá nhân và nhiều máy tính doanh nghiệp chạy Windows 11, và các cấu hình TPM+PIN không thể bị khai thác bởi mã được công bố vì chế độ đó yêu cầu người dùng cung cấp entropy khi khởi động trước khi ổ đĩa được giải mã. Điều quan trọng mà các nhà bảo mật không nên bỏ qua là nhà nghiên cứu đã tuyên bố rõ ràng rằng họ đã xây dựng và thử nghiệm một biến thể cũng vô hiệu hóa bảo vệ bằng mã PIN và cố tình không phát hành nó. Thực tế đó có hai hệ quả đáng lưu tâm. Thứ nhất, mô hình mối đe dọa cho bất kỳ môi trường nào dựa vào TPM+PIN hiện nay nên coi mã PIN là yếu tố làm tăng chi phí của kẻ tấn công chứ không phải là một biện pháp kiểm soát tuyệt đối, bởi vì cơ chế cơ bản đã được biết đến.