YellowKey (CVE‑2026‑45585): Lỗ hổng BitLocker có thể bị khai thác qua Windows Recovery Environment

Không giống nhiều lỗ hổng khác, YellowKey không thể khai thác từ xa. Kẻ tấn công cần truy cập vật lý vào thiết bị, có khả năng khởi động lại máy và tương tác với môi trường boot hoặc recovery.

Dù vậy, điều này vẫn là vấn đề nghiêm trọng vì nhiều mô hình bảo mật giả định rằng BitLocker sẽ bảo vệ dữ liệu ngay cả khi thiết bị bị đánh cắp.

Cách hoạt động của khai thác YellowKey

Các bản proof‑of‑concept công khai cho thấy cuộc tấn công tận dụng hành vi của Windows Recovery Environment, một môi trường khôi phục được tích hợp sẵn để sửa lỗi khởi động hoặc phục hồi hệ thống Windows.

Ở mức tổng quan, quá trình khai thác diễn ra như sau:

• Kẻ tấn công chuẩn bị USB hoặc phân vùng EFI chứa các tệp FsTx (Transactional NTFS) được tạo đặc biệt.
• Thiết bị mục tiêu được khởi động lại vào Windows Recovery Environment (WinRE).
• Khi WinRE xử lý các tệp FsTx độc hại trong quá trình khôi phục hệ thống, hành vi này có thể kích hoạt một shell có quyền truy cập vào ổ lưu trữ của hệ thống.
• Do cách WinRE xử lý trạng thái hệ thống tệp trong quá trình recovery, ổ đĩa được bảo vệ bởi BitLocker có thể trở nên truy cập được từ shell này.

Trong thực tế, điều này đồng nghĩa với việc dữ liệu lẽ ra phải được mã hóa vẫn có thể bị đọc nếu quy trình recovery bị thao túng.

Vì sao các cuộc tấn công yêu cầu truy cập vật lý vẫn nguy hiểm?

Trong nhiều tình huống thực tế, việc kẻ tấn công tiếp cận thiết bị không hề hiếm. Ví dụ:

• laptop bị mất hoặc bị đánh cắp
• thiết bị bị giữ tạm thời trong quá trình kiểm tra hoặc khi đi công tác
• máy trạm không được giám sát
• máy tính tại chi nhánh, kiosk hoặc môi trường công cộng

Các tổ chức sử dụng BitLocker với cơ chế mở khóa chỉ bằng TPM có thể dễ bị ảnh hưởng hơn, vì ổ đĩa có thể tự động được mở khóa trong quá trình khởi động mà không cần người dùng nhập mật khẩu hoặc PIN.

Các biện pháp giảm thiểu Microsoft khuyến nghị

Khi lỗ hổng được công bố, Microsoft xác nhận vấn đề nhưng chưa phát hành bản vá đầy đủ. Thay vào đó, hãng đưa ra hướng dẫn giảm thiểu cho quản trị viên hệ thống.

1. Xóa mục autofstx.exe trong BootExecute

Microsoft khuyến nghị xóa mục autofstx.exe khỏi giá trị BootExecute trong image WinRE. Điều này ngăn cơ chế Transactional NTFS replay – thành phần mà khai thác lợi dụng.

2. Sử dụng BitLocker với TPM + PIN

Thay vì mở khóa tự động bằng TPM, Microsoft khuyên cấu hình BitLocker với TPM + PIN. Khi đó người dùng phải nhập PIN trong giai đoạn pre‑boot, giúp giảm đáng kể nguy cơ khai thác bởi kẻ tấn công có quyền truy cập vật lý.

3. Tăng cường bảo mật quá trình khởi động

Các biện pháp phòng thủ bổ sung gồm:

• vô hiệu hóa hoặc hạn chế boot từ USB hoặc thiết bị ngoài
• đặt mật khẩu quản trị cho UEFI/BIOS
• đảm bảo Secure Boot luôn bật
• theo dõi thay đổi đối với WinRE hoặc cấu hình boot

Những biện pháp này giúp giảm khả năng kẻ tấn công truy cập vào môi trường recovery cần thiết cho cuộc tấn công.

Nhà nghiên cứu đứng sau YellowKey

Lỗ hổng được công bố bởi một nhà nghiên cứu bảo mật sử dụng bí danh Chaotic Eclipse, còn được biết đến với tên Nightmare‑Eclipse, người đã phát hành mã proof‑of‑concept mô tả kỹ thuật khai thác.

YellowKey là một phần trong loạt báo cáo lỗ hổng Windows do cùng nhà nghiên cứu công bố, bao gồm cả các zero‑day khác nhắm vào các thành phần của Microsoft.

Khi mã PoC đã công khai, các chuyên gia bảo mật thường cảnh báo rằng rào cản kỹ thuật để khai thác sẽ giảm đáng kể, đặc biệt trước khi nhà cung cấp phát hành bản vá.

Những dấu hiệu cần theo dõi trong hệ thống

Cho đến khi bản vá chính thức được phát hành, các đội bảo mật nên theo dõi các dấu hiệu có thể liên quan đến việc khai thác:

• hệ thống khởi động vào Windows Recovery Environment bất thường
• thay đổi trong image WinRE hoặc giá trị BootExecute
• thay đổi boot order, phân vùng EFI hoặc cấu hình Secure Boot
• các nỗ lực boot từ USB trái phép
• thay đổi bất thường trong BitLocker protector hoặc cấu hình TPM

Những chỉ dấu này có thể cho thấy quá trình boot hoặc recovery đã bị can thiệp.

Bài học lớn về bảo mật mã hóa ổ đĩa

YellowKey nhấn mạnh một nguyên tắc quan trọng: mã hóa toàn bộ ổ đĩa không thể bảo vệ dữ liệu nếu chuỗi khởi động hoặc môi trường recovery bị thao túng.

Boot loader, firmware, và môi trường khôi phục đều nằm trong cùng một chuỗi tin cậy với cơ chế mã hóa. Nếu một mắt xích bị khai thác, lớp bảo vệ của mã hóa có thể bị suy yếu.

Vì vậy, các tổ chức sử dụng BitLocker nên kết hợp mã hóa với xác thực trước khi khởi động (pre‑boot authentication), bảo vệ firmware và kiểm soát chặt chẽ quy trình boot, ít nhất cho đến khi Microsoft phát hành bản vá hoàn chỉnh cho CVE‑2026‑45585.