Vn-Z.vn Ngày 21 tháng 08 năm 2022, Microsoft xác nhận vào tuần trước rằng bản cập nhật KB5012170 sẽ gây ra một số vấn đề, trong đó chủ yếu là lỗi không thể cài đặt bản cập nhật bảo mật Secure Boot DBX. Tuy nhiên nhiều phản hồi của người dùng sau đó cho biết Secure Boot DBX không phải là vấn đề duy nhất mà sự cố liên quan đến BitLockercòn gây khó cho người dùng nghiêm trọng hơn.
Nhiều người dùng Windows tại Việt Nam liên tiếp đưa ra các cảnh báo ngừng Update Windows KB5012170 ngay lập tức nếu không sẽ bị bật Bitlocker recovery screen, dù trước đó người dùng không bật Bitlocker
Có lượng lớn người dùng gặp sự cố khởi động vào giao diện khôi phục BitLocker sau khi cài đặt bản cập nhật.
Vn-Z team tìm hiểu thấy rằng sự cố không ảnh hưởng đến dữ liệu được lưu trữ, có nghĩa là người dùng có thể lấy lại quyền kiểm soát PC của mình bằng cách nhập khóa được lưu trữ trong tài khoản Microsoft hoặc Active Directory.
Ngoài ra bản cập nhật KB5012170 này còn khiến hệ thống sẽ thay đổi cấu hình đĩa cứng từ RAID sang AHCI sau khi cài đặt . Đối với vấn đề BitLocker, người dùng có thể thay đổi hệ thống của họ trở lại RAID mà không làm mất dữ liệu. Tuy nhiên, hiện tại, vấn đề Secure Boot DBX vẫn là vấn đề duy nhất được Microsoft công nhận.
Microsoft cho biết KB5012170 cập nhật cơ sở dữ liệu DBX nhằm vá lỗ hổng tính năng bảo mật trong hệ thống có thể cho phép kẻ tấn công vượt qua Secure Boot và tải phần mềm không đáng tin cậy. Microsoft phải chặn các chứng chỉ từ bên thứ ba, vì vậy bản cập nhật này rất quan trọng, ít nhất Microsoft cho rằng người dùng không nên bỏ qua nó, mặc dù có rất nhiều lỗi.
Nhóm Dev Windows hiện đã đưa ra giải pháp tạm thời cho vấn đề BitLocker.
Chính sách nhóm của BitLocker bật Cấu hình xác thực nền tảng TPM cho cấu hình chương trình cơ sở UEFI gốc và PCR7 được chọn theo chính sách, điều đó có thể khiến bản cập nhật không cài đặt được.
Người dùng muốn xem trạng thái liên kết PCR7, hãy chạy công cụ Thông tin Hệ thống Microsoft (Msinfo32.exe) với quyền quản trị. Để giải quyết vấn đề này, nhóm Dev Windows đưa ra một số thao tác sau trước khi triển khai bản cập nhật KB5012170:
Microsoft cũng lưu ý rằng : Sự cố này chỉ ảnh hưởng đến Bản cập nhật bảo mật cho Secure Boot DBX (KB5012170) và không ảnh hưởng đến Bản cập nhật bảo mật tích lũy mới nhất được phát hành vào ngày 9 tháng 8 năm 2022.
Giải pháp khắc phục sự cố Nếu thiết bị của bạn nhắc bạn nhập mật khẩu BitLocker khi khởi động Windows.
Để tạm thời tạm ngưng BitLocker hoặc tránh gặp màn hình yêu cầu khôi phục BitLocker trong khi triển khai KB5012170, hãy làm theo các bước sau:
Các bước tiếp theo: Microsoft dev team Windows vẫn đang nghiên cứu giải pháp và sẽ cung cấp bản cập nhật trong bản phát hành tiếp theo.
Theo Microsoft thì sự cố này chỉ ảnh hưởng trên các hệ thống : Windows 11, phiên bản 21H2 , Không ảnh hưởng đến hệ thống dành cho máy chủ.
Vn-Z.vn team tổng hợp tham khảo Microsoft
Nhiều người dùng Windows tại Việt Nam liên tiếp đưa ra các cảnh báo ngừng Update Windows KB5012170 ngay lập tức nếu không sẽ bị bật Bitlocker recovery screen, dù trước đó người dùng không bật Bitlocker
Có lượng lớn người dùng gặp sự cố khởi động vào giao diện khôi phục BitLocker sau khi cài đặt bản cập nhật.
Vn-Z team tìm hiểu thấy rằng sự cố không ảnh hưởng đến dữ liệu được lưu trữ, có nghĩa là người dùng có thể lấy lại quyền kiểm soát PC của mình bằng cách nhập khóa được lưu trữ trong tài khoản Microsoft hoặc Active Directory.
Ngoài ra bản cập nhật KB5012170 này còn khiến hệ thống sẽ thay đổi cấu hình đĩa cứng từ RAID sang AHCI sau khi cài đặt . Đối với vấn đề BitLocker, người dùng có thể thay đổi hệ thống của họ trở lại RAID mà không làm mất dữ liệu. Tuy nhiên, hiện tại, vấn đề Secure Boot DBX vẫn là vấn đề duy nhất được Microsoft công nhận.
Microsoft cho biết KB5012170 cập nhật cơ sở dữ liệu DBX nhằm vá lỗ hổng tính năng bảo mật trong hệ thống có thể cho phép kẻ tấn công vượt qua Secure Boot và tải phần mềm không đáng tin cậy. Microsoft phải chặn các chứng chỉ từ bên thứ ba, vì vậy bản cập nhật này rất quan trọng, ít nhất Microsoft cho rằng người dùng không nên bỏ qua nó, mặc dù có rất nhiều lỗi.
Nhóm Dev Windows hiện đã đưa ra giải pháp tạm thời cho vấn đề BitLocker.
Chính sách nhóm của BitLocker bật Cấu hình xác thực nền tảng TPM cho cấu hình chương trình cơ sở UEFI gốc và PCR7 được chọn theo chính sách, điều đó có thể khiến bản cập nhật không cài đặt được.
Người dùng muốn xem trạng thái liên kết PCR7, hãy chạy công cụ Thông tin Hệ thống Microsoft (Msinfo32.exe) với quyền quản trị. Để giải quyết vấn đề này, nhóm Dev Windows đưa ra một số thao tác sau trước khi triển khai bản cập nhật KB5012170:
- Trên các thiết bị không được bật Credential Gard, Mở CMD bằng quyền Admin, tiếp theo chạy lệnh sau từ dấu nhắc lệnh quản trị viên để tạm ngưng BitLocker trong 1 chu kỳ khởi động:
. Sau đó, triển khai bản cập nhật và khởi động lại thiết bị để khôi phục BitLocker Protect.Mã:
Manage-bde –Protectors –Disable C: -RebootCount 1 - Trên các thiết bị đã bật Credential Guard, hãy chạy lệnh sau từ dấu nhắc lệnh của quản trị viên để tạm ngưng BitLocker trong 2 chu kỳ khởi động lại:
. Sau đó, triển khai bản cập nhật và khởi động lại thiết bị để khôi phục tính năng bảo vệ BitLocker.Mã:
Manage-bde –Protectors –Disable C: -RebootCount 3
Giải pháp khắc phục sự cố Nếu thiết bị của bạn nhắc bạn nhập mật khẩu BitLocker khi khởi động Windows.
Nếu bạn chưa cài đặt KB5012170 và BitLocker được bật trên thiết bị của bạn, hãy làm theo hướng dẫn bên dưới để tạm thời tắt BitLocker trước khi cài đặt.
- Nếu bạn đã cài đặt KB5012170 và chưa khởi động lại thiết bị của mình hoặc chỉ khởi động lại một lần, hãy sử dụng hướng dẫn bên dưới để tạm thời ghi đè BitLocker.
Để tạm thời tạm ngưng BitLocker hoặc tránh gặp màn hình yêu cầu khôi phục BitLocker trong khi triển khai KB5012170, hãy làm theo các bước sau:
- Chạy các lệnh sau từ CMD bằng quyền admin
- Manage-bde -protectors -disable%systemdrive% -rebootcount 2
- Cài đặt bản Cập Nhật KB5012170 nếu nó chưa được cài đặt.
- Khởi động lại thiết bị lần 1
- Khởi động lại thiết bị lần 2
- BitLocker sẽ tự động được bật sau hai lần khởi động.
- Nếu bạn muốn khôi phục BitLocker theo cách thủ công để xác minh rằng nó đã được bật, hãy sử dụng lệnh sau:
- Manage bde -protectors -Enable%systemdrive%
Các bước tiếp theo: Microsoft dev team Windows vẫn đang nghiên cứu giải pháp và sẽ cung cấp bản cập nhật trong bản phát hành tiếp theo.
Theo Microsoft thì sự cố này chỉ ảnh hưởng trên các hệ thống : Windows 11, phiên bản 21H2 , Không ảnh hưởng đến hệ thống dành cho máy chủ.
Vn-Z.vn team tổng hợp tham khảo Microsoft
