นักวิจัยด้านความปลอดภัย Chaotic Eclipse หรือ Nightmare-Eclipse ผู้ที่เคยเปิดเผยช่องโหว่ของ Microsoft Defender ไปก่อนหน้านี้ ได้กลับมาเปิดเผยช่องโหว่ Zero-day เพิ่มอีก 2 รายการ ซึ่งเกี่ยวข้องกับการ bypass BitLocker และการยกระดับสิทธิ์ใน Windows Collaborative Translation Framework (CTFMON)
นักวิจัยได้ตั้งชื่อรหัสช่องโหว่ด้านความปลอดภัยนี้ว่า YellowKey และ GreenPlasma ตามลำดับ โดยระบุว่าเป็นหนึ่งในการค้นพบที่น่าสนใจที่สุดเท่าที่เคยเจอมา โดยเปรียบเทียบการ bypass BitLocker นี้ว่าทำหน้าที่เสมือน Backdoor เนื่องจากช่องโหว่นี้ปรากฏเฉพาะใน Windows Recovery Environment (WinRE) ซึ่งเป็นโครงสร้างในตัวที่ออกแบบมาเพื่อแก้ไขปัญหา และซ่อมแซมระบบปฏิบัติการในกรณีที่ไม่สามารถบูตเครื่องได้ตามปกติ
YellowKey ส่งผลกระทบต่อ Windows 11 และ Windows Server 2022/2025 โดยผู้โจมตีจะคัดลอกไฟล์ FsTx ลงในแฟลชไดรฟ์ USB หรือพาร์ทิชัน EFI จากนั้นเสียบแฟลชไดรฟ์เข้าเครื่อง Windows เป้าหมายที่เปิด BitLocker ไว้ แล้วรีบูตเครื่องเข้าสู่ WinRE และกดปุ่ม CTRL ค้างไว้เพื่อเรียก Command Prompt ออกมา
นักวิจัยยืนยันว่าต่อให้เปิดใช้งาน TPM+PIN ก็ไม่สามารถป้องกันการโจมตีนี้ได้ ขณะที่ Will Dormann นักวิจัยด้านความปลอดภัยอีกรายระบุว่า ช่องโหว่นี้เกิดจากการที่ไฟล์ในแฟลชไดรฟ์ USB สามารถไปสั่งลบ หรือแก้ไขไฟล์บนไดรฟ์อื่นได้ จนทำให้ได้สิทธิ์ cmd.exe ในขณะที่ BitLocker ถูกปลดล็อกแล้ว
ประเด็นสำคัญคือการที่ไดเรกทอรี \System Volume Information\FsTx มีความสามารถในการแก้ไข contents ระหว่างโวลุ่ม (Cross-volume modification) ซึ่ง Dormann ระบุว่าเป็นช่องโหว่ร้ายแรงที่ถูกมองข้าม
Chaotic Eclipse รายงานช่องโหว่การยกระดับสิทธิ์บน Windows CTFMON ที่ทำให้ผู้ใช้งานทั่วไปได้รับสิทธิ์สูงสุดระดับ SYSTEM ผ่านการสร้างส่วน memory section แบบอิสระ แม้โค้ด PoC ที่ปล่อยออกมานั้นยังไม่สมบูรณ์ แต่ช่องโหว่นี้ช่วยให้ผู้ใช้ที่ไม่มีสิทธิ์ สามารถสร้างอ็อบเจกต์ memory section ในไดเรกทอรีที่ SYSTEM สามารถเขียนได้ ซึ่งอาจนำไปสู่การควบคุม services หรือไดรเวอร์ที่มีสิทธิ์สูงได้
การเปิดเผยข้อมูลครั้งนี้เกิดขึ้นหลังจากการเผยแพร่ช่องโหว่ Zero-day ของ Defender 3 รายการ ที่ชื่อว่า BlueHammer, RedSun, UnDefend เมื่อเดือนก่อน โดยนักวิจัยแสดงความไม่พอใจกับการจัดการกระบวนการเปิดเผยช่องโหว่ของ Microsoft ซึ่งช่องโหว่เหล่านั้นกำลังถูกนำไปใช้ในการโจมตีจริงแล้ว
ในขณะที่ BlueHammer ได้รับหมายเลขอย่างเป็นทางการคือ CVE-2026-33825 และได้รับการแก้ไขโดย Microsoft เมื่อเดือนที่แล้ว แต่นักวิจัยระบุว่า RedSun ถูกแอบแก้ไขแบบเงียบ ๆ โดยไม่มีการออกประกาศแจ้งเตือนใด ๆ
กลุ่มนักวิจัยได้ส่งสาส์นถึงบริษัท Microsoft โดยวิจารณ์ว่าแนวทางการดำเนินงานของบริษัทอาจส่งผลให้สถานการณ์ความรุนแรงของปัญหาเพิ่มมากขึ้น พร้อมทั้งแจ้งเตือนว่าการเปิดเผยข้อมูลช่องโหว่ของระบบจะยังคงเป็นไปอย่างต่อเนื่อง จนกว่าทาง Microsoft จะมีมาตรการตอบสนองและจัดการกับสถานการณ์ดังกล่าวด้วยความรับผิดชอบ นอกจากนี้ นักวิจัยยังระบุว่าจะมีการเปิดเผยข้อมูลสำคัญครั้งใหญ่ให้กับ Microsoft ในช่วง Patch Tuesday ที่จะถึงนี้ในเดือนมิถุนายน 2569
ทางด้านโฆษกของ Microsoft ระบุว่า บริษัทมีพันธสัญญาในการตรวจสอบปัญหาความปลอดภัยที่ได้รับรายงาน และจะเร่งอัปเดตอุปกรณ์เพื่อปกป้องลูกค้าโดยเร็วที่สุด พร้อมทั้งยืนยันความสนับสนุนต่อแนวทางการเปิดเผยช่องโหว่แบบประสานงานร่วมกัน (Coordinated Disclosure) เพื่อให้มั่นใจว่าปัญหาต่าง ๆ จะได้รับการตรวจสอบ และแก้ไขอย่างรอบคอบก่อนที่จะถูกเปิดเผยสู่สาธารณะ
ที่มา : thehackernews
You must be logged in to post a comment.