An ninh mạng

Microsoft phát hành hướng dẫn khắc phục lỗ hổng BitLocker Bypass ‘YellowKey’ (CVE-2026-45585)

Microsoft vừa công bố các biện pháp giảm thiểu cho lỗ hổng bảo mật 'YellowKey' (CVE-2026-45585), cho phép kẻ tấn công có quyền truy cập vật lý vượt qua cơ chế mã hóa BitLocker trên...

Nguyen Hung
28 Tháng 5, 2026 2 Min Read
3 0

Microsoft đã chính thức phát hành các biện pháp giảm thiểu cho lỗ hổng bảo mật mới được phát hiện mang tên YellowKey, sau khi thông tin chi tiết về lỗ hổng này bị công khai vào tuần trước. Lỗ hổng này được định danh là CVE-2026-45585 với điểm CVSS 6.8, được phân loại là lỗi bypass tính năng bảo mật của BitLocker.

Chi tiết về lỗ hổng YellowKey

Lỗ hổng này được phát hiện bởi nhà nghiên cứu bảo mật có biệt danh Chaotic Eclipse. Kẻ tấn công có quyền truy cập vật lý vào thiết bị có thể khai thác lỗ hổng bằng cách sử dụng các tệp tin ‘FsTx’ được tùy chỉnh trên USB hoặc phân vùng EFI. Khi khởi động lại máy tính vào môi trường Windows Recovery Environment (WinRE), kẻ tấn công có thể kích hoạt một shell với quyền truy cập không hạn chế vào ổ đĩa đã được mã hóa BitLocker.

Các phiên bản bị ảnh hưởng bao gồm Windows 11 (các bản 24H2, 25H2, 26H1) và Windows Server 2025. Theo các chuyên gia từ LevelBlue, YellowKey đặc biệt nguy hiểm vì nó không yêu cầu cài đặt phần mềm độc hại, không cần thông tin đăng nhập có sẵn hay kết nối mạng, biến bất kỳ thiết bị nào có cổng USB thành mục tiêu tiềm năng.

Biện pháp giảm thiểu từ Microsoft

Để ngăn chặn rủi ro, Microsoft khuyến nghị người dùng và quản trị viên thực hiện các bước sau:

  • Mount ảnh WinRE trên thiết bị.
  • Truy cập vào registry hive của ảnh WinRE đã mount.
  • Chỉnh sửa giá trị BootExecute bằng cách loại bỏ tệp “autofstx.exe”.
  • Lưu, đóng registry và unmount ảnh WinRE.
  • Thiết lập lại BitLocker trust cho WinRE.

Ngoài ra, Microsoft nhấn mạnh rằng việc chuyển đổi từ cơ chế bảo mật “TPM-only” sang “TPM+PIN” là biện pháp phòng vệ hiệu quả nhất. Việc yêu cầu nhập mã PIN khi khởi động sẽ ngăn chặn thành công các cuộc tấn công khai thác YellowKey, ngay cả khi kẻ tấn công có quyền truy cập vật lý vào thiết bị.

Các quản trị viên hệ thống được khuyến cáo áp dụng chính sách “Require additional authentication at startup” thông qua Microsoft Intune hoặc Group Policies để tăng cường bảo mật cho các thiết bị trong tổ chức.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept