Sau khi buộc phải thừa nhận lỗi và tung ra giải pháp khắc phục tạm thời, Microsoft lại công khai chỉ trích người phát hiện lỗ hổng, châm ngòi cho một màn phản pháo đanh thép vạch trần những góc khuất của gã khổng lồ phần mềm.
Lỗ hổng bẻ khóa BitLocker bằng USB và nghi vấn về "cửa hậu"
Sự việc bắt đầu khi nhà nghiên cứu độc lập Nightmare-Eclipse (hay Chaotic Eclipse) phát hiện và công khai mã khai thác bằng chứng khái niệm (PoC) mang tên YellowKey (mã CVE-2026-45585). Lỗ hổng zero-day này cho phép bất kỳ ai cũng có thể truy cập vào ổ đĩa bị khóa một cách dễ dàng mà không cần mật khẩu.
Quy trình khai thác được mô tả là vô cùng đơn giản: người dùng chỉ cần lấy một chiếc USB bất kỳ, sao chép thư mục "FsTx" vào phân vùng hệ thống, khởi động lại máy vào Môi trường Phục hồi Windows (WinRE) và giữ phím Control. Hệ thống sẽ ngay lập tức đưa người dùng vào thẳng cửa sổ dòng lệnh với toàn quyền truy cập dữ liệu.
Cửa sổ dòng lệnh với toàn quyền truy cập ổ đĩa sau khi bypass BitLocker bằng exploit YellowKey.
Đáng chú ý, Nightmare-Eclipse thậm chí còn đặt nghi vấn rằng lỗi này có thể không đơn thuần là một sơ suất kỹ thuật. Tuy nhiên hiện chưa có bằng chứng công khai nào cho thấy Microsoft cố tình tạo “cửa hậu” trên Windows.
Chuyên gia này nhận định: "Tôi không thể nghĩ ra lời giải thích nào khác ngoài việc đây là sự cố ý. Ngoài ra, vì bất kỳ lý do gì, chỉ có Windows 11 (và Server 2022/2025) bị ảnh hưởng, trong khi Windows 10 thì không."
Microsoft tung giải pháp "chữa cháy" khẩn cấp
Trước áp lực từ những báo cáo lan truyền rộng rãi về YellowKey, Microsoft tuần này đã phải chính thức ghi nhận sự cố và ban hành hướng dẫn giảm thiểu rủi ro cho người dùng, đặc biệt là những nhân viên doanh nghiệp thường mang máy theo khi đi công tác.
Hãng đã cung cấp một tập lệnh can thiệp trực tiếp vào Registry của WinRE nhằm vô hiệu hóa tệp tin thực thi độc hại từ sớm.
Giải thích về cơ chế, Microsoft cho biết: "Tập lệnh này dành cho WinRE và sẽ xóa autofstx.exe khỏi giá trị registry BootExecute. Vì BootExecute chạy các chương trình từ rất sớm trong quá trình khởi động (ngay cả ở chế độ phục hồi), việc xóa mục này sẽ ngăn tệp thực thi đó chạy trong môi trường có đặc quyền cao, giúp giảm thiểu rủi ro... Nó hoạt động bằng cách gắn kết hình ảnh WinRE, chỉnh sửa registry SYSTEM ngoại tuyến để xóa mục nhập nếu có, sau đó lưu thay đổi an toàn và đóng gói lại WinRE để độ tin cậy của BitLocker được giữ nguyên..."
Trong thời gian chờ bản vá hoàn chỉnh, Microsoft khuyên người dùng nên đổi cấu hình BitLocker sang chế độ TPM + mã PIN để ngăn chặn các cuộc tấn công vật lý thông qua USB.
Microsoft "đổ lỗi" cho hacker và màn đáp trả cực gắt
Tuy nhiên, bên cạnh việc đưa ra giải pháp bảo vệ, Microsoft lại tỏ ra vô cùng hậm hực khi công khai chỉ trích và đổ lỗi cho Nightmare-Eclipse trong bản thông báo của mình: "Proof-of-Concept cho lỗ hổng này đã bị công khai, vi phạm các quy tắc thực hành tốt nhất về tiết lộ lỗ hổng bảo mật có phối hợp."
Ngay lập tức, vị chuyên gia này đã đăng đàn trên blog cá nhân để phản pháo. Ông bác bỏ lập luận của Microsoft, đồng thời cáo buộc chính gã khổng lồ phần mềm đã chặn con đường báo cáo lỗ hổng chính thống của mình từ trước. Nightmare-Eclipse cho rằng việc Microsoft công khai nói ông “vi phạm các quy tắc CVD” (Coordinated Vulnerability Disclosure - quy trình công bố lỗ hổng có phối hợp giữa researcher và hãng phần mềm) là hành động mang tính bôi nhọ danh tiếng cá nhân.
Nhà nghiên cứu này còn tố Microsoft đã thu hồi rồi xóa hoàn toàn tài khoản MSRC (Microsoft Security Response Center) mà ông dùng để báo cáo lỗ hổng, dù đã nhiều lần yêu cầu được giải thích nhưng không nhận được phản hồi từ phía lãnh đạo chương trình. “Tôi coi tuyên bố của các người là một sự xúc phạm cá nhân,” Nightmare-Eclipse viết.
Eclipse thậm chí còn tuyên bố mình “có thể kiếm được một khoản tiền điên rồ nếu bán lỗ hổng này”, nhưng “không có số tiền nào đủ để khiến tôi từ bỏ quyết tâm chống lại Microsoft.”
Hiện tại, cuộc chiến truyền thông này vẫn chưa có dấu hiệu hạ nhiệt khi Nightmare-Eclipse tuyên bố sẽ tiếp tục công bố thêm các thông tin chi tiết trước đợt cập nhật Patch Tuesday vào tháng tới, đồng thời vừa tung ra thêm một lỗ hổng mới mang tên "MiniPlasma" liên quan đến việc can thiệp Registry độc hại trên Windows.