BitLocker ระบบเข้ารหัสดิสก์ใน Windows กำลังถูกจับตามองอีกครั้ง หลังนักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ใหม่ชื่อ “YellowKey” ที่อ้างว่าสามารถข้ามการป้องกันของ BitLocker ได้โดยไม่ต้องใช้ Recovery Key หรือรหัสผ่าน เพียงแค่อาศัยไฟล์เฉพาะบน USB และการเข้าถึงเครื่องในระดับกายภาพ
นักวิจัยที่ใช้ชื่อ Chaotic Eclipse ระบุว่า ช่องโหว่นี้อาศัยการเขียนไฟล์ลงในโฟลเดอร์ System Volume Information ก่อนคัดลอกโฟลเดอร์พิเศษชื่อ FsTx ไปยังแฟลชไดรฟ์ จากนั้นบูตเข้าสู่ Windows Recovery Environment (WinRE) และใช้คีย์ลัดบางอย่างเพื่อเปิด Command Prompt สิทธิ์สูง
หากขั้นตอนสำเร็จ ไดรฟ์ที่ถูกเข้ารหัสด้วย BitLocker อาจถูกเข้าถึงได้ในสถานะปลดล็อก ทำให้ผู้โจมตีสามารถอ่าน คัดลอก หรือแก้ไขข้อมูลภายในได้ทันที โดยรายงานระบุว่าไฟล์ที่ใช้โจมตีจะลบตัวเองออกจาก USB หลังทำงานเสร็จ เพิ่มความยากต่อการตรวจสอบย้อนหลัง
เบื้องต้นมีการอ้างว่าช่องโหว่นี้กระทบ Windows 11 รวมถึง Windows Server 2022 และ Windows Server 2025 ขณะที่ Windows 10 ยังไม่พบผลกระทบชัดเจน
นอกจากนี้ นักวิจัยยังอ้างว่าแม้ระบบจะเปิดใช้งาน TPM พร้อม PIN เพื่อเพิ่มความปลอดภัย ก็ยังมีรูปแบบการโจมตีบางแบบที่สามารถรับมือมาตรการดังกล่าวได้ ทำให้หลายฝ่ายเริ่มตั้งคำถามถึงความแข็งแกร่งของระบบป้องกันระดับฮาร์ดแวร์
Chaotic Eclipse ระบุว่าการเปิดเผย YellowKey เกิดจากความไม่พอใจต่อการตอบสนองของ Microsoft ต่อรายงานช่องโหว่ก่อนหน้านี้ โดยเจ้าตัวอ้างว่าเคยแจ้งช่องโหว่หลายรายการแต่ไม่ได้รับความสนใจเพียงพอ
นอกเหนือจาก YellowKey ยังมีการเปิดเผยช่องโหว่อีกตัวชื่อ GreenPlasma ซึ่งเกี่ยวข้องกับการยกระดับสิทธิ์ในระบบ Windows ผ่านกระบวนการ CTFMon ทำให้โปรแกรมทั่วไปอาจได้รับสิทธิ์ระดับ SYSTEM ซึ่งถือเป็นความเสี่ยงสูงโดยเฉพาะในเซิร์ฟเวอร์หรือเครื่องที่มีผู้ใช้หลายราย
จนถึงตอนนี้ Microsoft ยังไม่มีแถลงการณ์อย่างเป็นทางการเกี่ยวกับ YellowKey และ GreenPlasma โดยผู้เชี่ยวชาญแนะนำให้ผู้ใช้เพิ่มมาตรการป้องกันการเข้าถึงเครื่องจริง จำกัดการใช้งาน USB ที่ไม่รู้แหล่งที่มา และติดตามอัปเดตความปลอดภัยจาก Microsoft อย่างใกล้ชิด
ที่มา: HKEPC
