Microsoft khẩn cấp vá lỗ hổng Win10 / Win11, bị lợi dụng để đánh cắp dữ liệu mã hóa toàn bộ ổ đĩa
Tại hội nghị Black Hat USA 2025 và DEF CON 33, Nhóm Nghiên cứu Tấn công & Kiểm thử Bảo mật của Microsoft (STORM) đã tiết lộ sự tồn tại của nhiều lỗ hổng trong Môi trường Khôi phục Windows (WinRE). Các lỗ hổng này có thể bị khai thác để vượt qua mã hóa BitLocker và đánh cắp dữ liệu được mã hóa toàn bộ ổ đĩa.
Ghi chú: WinRE là chức năng khôi phục quan trọng của hệ điều hành Windows 10 và Windows 11, chủ yếu được sử dụng khi hệ thống gặp sự cố hoặc bị hỏng. Người dùng có thể từ màn hình đăng nhập nhấn giữ phím Shift và khởi động lại để vào môi trường khôi phục độc lập, từ đó sửa lỗi hệ thống.
BitLocker (trên một số thiết bị gọi là “Mã hóa thiết bị – DE”) là tính năng bảo mật cốt lõi của Windows nhằm chống lại các cuộc tấn công vật lý, bảo vệ dữ liệu tĩnh thông qua cơ chế mã hóa toàn bộ phân vùng. Để đảm bảo hệ thống vẫn có thể khôi phục sau khi BitLocker được bật, Microsoft đã điều chỉnh kiến trúc WinRE, di chuyển tệp ảnh hệ thống (WinRE.wim) sang phân vùng khôi phục chưa được mã hóa, đồng thời đưa vào cơ chế “Trusted WIM Boot” để xác minh tính toàn vẹn của ảnh hệ thống. Ngoài ra, khi chạy các công cụ rủi ro cao (như Command Prompt), hệ thống sẽ kích hoạt lại khóa phân vùng, yêu cầu nhập khóa khôi phục trước khi tiếp tục.
Nghiên cứu chỉ ra rằng, một khi WinRE vượt qua xác thực tin cậy và bước vào trạng thái “tự động mở khóa”, nó có thể truy cập phân vùng hệ thống EFI và phân vùng khôi phục. Kẻ tấn công có thể lợi dụng một số lỗ hổng trong quá trình này để điều khiển WinRE thực thi mã độc, trích xuất khóa BitLocker hoặc sao chép trực tiếp dữ liệu đã mã hóa.
Các lỗ hổng liên quan bao gồm CVE-2025-48800, CVE-2025-48003, CVE-2025-48804 và CVE-2025-48818, đã được khắc phục trong bản cập nhật tích lũy phát hành vào ngày “Patch Tuesday” tháng 7/2025. Microsoft khuyến cáo người dùng Windows 10 và Windows 11 nhanh chóng cài đặt bản cập nhật này. Do bản vá là dạng tích lũy, người dùng có thể lựa chọn cài đặt luôn bản cập nhật tích lũy mới nhất tháng 8.
Nguồn tham khảo https://techcommunity.microsoft.com...recovery-to-extract-bitlocker-secrets/4442806
Ghi chú: WinRE là chức năng khôi phục quan trọng của hệ điều hành Windows 10 và Windows 11, chủ yếu được sử dụng khi hệ thống gặp sự cố hoặc bị hỏng. Người dùng có thể từ màn hình đăng nhập nhấn giữ phím Shift và khởi động lại để vào môi trường khôi phục độc lập, từ đó sửa lỗi hệ thống.
BitLocker (trên một số thiết bị gọi là “Mã hóa thiết bị – DE”) là tính năng bảo mật cốt lõi của Windows nhằm chống lại các cuộc tấn công vật lý, bảo vệ dữ liệu tĩnh thông qua cơ chế mã hóa toàn bộ phân vùng. Để đảm bảo hệ thống vẫn có thể khôi phục sau khi BitLocker được bật, Microsoft đã điều chỉnh kiến trúc WinRE, di chuyển tệp ảnh hệ thống (WinRE.wim) sang phân vùng khôi phục chưa được mã hóa, đồng thời đưa vào cơ chế “Trusted WIM Boot” để xác minh tính toàn vẹn của ảnh hệ thống. Ngoài ra, khi chạy các công cụ rủi ro cao (như Command Prompt), hệ thống sẽ kích hoạt lại khóa phân vùng, yêu cầu nhập khóa khôi phục trước khi tiếp tục.
Các lỗ hổng liên quan bao gồm CVE-2025-48800, CVE-2025-48003, CVE-2025-48804 và CVE-2025-48818, đã được khắc phục trong bản cập nhật tích lũy phát hành vào ngày “Patch Tuesday” tháng 7/2025. Microsoft khuyến cáo người dùng Windows 10 và Windows 11 nhanh chóng cài đặt bản cập nhật này. Do bản vá là dạng tích lũy, người dùng có thể lựa chọn cài đặt luôn bản cập nhật tích lũy mới nhất tháng 8.
Nguồn tham khảo https://techcommunity.microsoft.com...recovery-to-extract-bitlocker-secrets/4442806
