Microsoft ได้เผยแพร่วิธีลดผลกระทบสำหรับ YellowKey ซึ่งเป็นช่องโหว่ Zero-Day ของ Windows BitLocker ที่เพิ่งถูกเปิดเผยเมื่อไม่นานมานี้ โดยช่องโหว่ดังกล่าวทำให้ผู้ไม่หวังดีสามารถเข้าถึงไดรฟ์ที่ถูก protected ไว้ได้
ช่องโหว่ด้านความปลอดภัยนี้ถูกเปิดเผยเมื่อสัปดาห์ที่ผ่านมาโดยนักวิจัยด้านความปลอดภัยนิรนามที่รู้จักกันในชื่อ 'Nightmare Eclipse' ซึ่งระบุว่า ช่องโหว่นี้มีลักษณะการทำงานคล้าย backdoor และได้เผยแพร่ตัวอย่างการโจมตี (PoC) ออกมาด้วย
Nightmare Eclipse ระบุว่า การโจมตีผ่านช่องโหว่ Zero-Day นี้ ทำได้โดยการนำไฟล์ 'FsTx' ที่ถูกสร้างขึ้นมาเป็นพิเศษ ไปวางไว้ใน USB drive หรือ EFI partition จากนั้นทำการ Reboot ระบบเข้าสู่โหมด WinRE และเรียกใช้คำสั่ง Shell ที่มีสิทธิ์เข้าถึงไดรฟ์จัดเก็บข้อมูลที่ได้รับการป้องกันด้วย BitLocker อย่างอิสระโดยการกดปุ่ม CTRL ค้างไว้
เมื่อเดือนที่ผ่านมา นักวิจัยรายนี้ยังได้เปิดเผยช่องโหว่ Zero-Day BlueHammer (CVE-2026-33825) และ RedSun (ไม่มีรหัสระบุ) ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ภายในเครื่อง (LPE) และขณะนี้กำลังถูกนำไปใช้ในการโจมตีอยู่จริง
นอกจากนี้ นักวิจัยยังเปิดเผยช่องโหว่ GreenPlasma ซึ่งเป็นช่องโหว่ Zero-day ที่ผู้โจมตีสามารถใช้เพื่อเข้าถึง SYSTEM shell และ UnDefend ซึ่งเป็นช่องโหว่ Zero-day อีกรายการหนึ่งที่ผู้โจมตีที่มีสิทธิ์ผู้ใช้ทั่วไปสามารถใช้เพื่อบล็อกการอัปเดตฐานข้อมูลภัยคุกคามของ Microsoft Defender ได้
แม้ว่าสถานการณ์ที่ทำให้เกิดการเผยแพร่รายละเอียดของช่องโหว่เหล่านี้ยังไม่ชัดเจน แต่ Nightmare Eclipse เคยระบุไว้ก่อนหน้านี้ว่า การเปิดเผยข้อมูลเหล่านี้เป็นการประท้วงต่อวิธีการที่ศูนย์ตอบสนองด้านความปลอดภัยของ Microsoft (MSRC) จัดการกระบวนการเปิดเผยช่องโหว่ด้านความปลอดภัยอื่น ๆ ที่เขาเคยรายงานในอดีต
Microsoft เผยวิธีลดผลกระทบจาก YellowKey
เมื่อวันอังคารที่ผ่านมา Microsoft ระบุว่า ขณะนี้กำลังติดตามช่องโหว่ YellowKey ภายใต้หมายเลข CVE-2026-45585 และได้เผยแพร่มาตรการลดผลกระทบ เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นจากการโจมตีโดยใช้ช่องโหว่นี้
Microsoft ระบุในประกาศแจ้งเตือนเมื่อวันอังคารที่ผ่านมาว่า "Microsoft รับทราบถึงช่องโหว่การ bypass ระบบรักษาความปลอดภัยบน Windows ซึ่งเป็นที่รู้จักทั่วไปในชื่อ 'YellowKey' โดยพบว่ามีการเผยแพร่ตัวอย่างการโจมตี สำหรับช่องโหว่นี้ออกสู่สาธารณะ ซึ่งถือเป็นการละเมิดแนวทางปฏิบัติที่ดีที่สุดในการจัดการช่องโหว่"
"เราได้ออก CVE นี้เพื่อให้คำแนะนำเกี่ยวกับวิธีการลดผลกระทบ ซึ่งสามารถนำไปใช้เพื่อปกป้องระบบจากช่องโหว่นี้ได้ จนกว่าจะมีการปล่อยอัปเดตความปลอดภัยออกมา"
เพื่อลดผลกระทบจากการโจมตีด้วย YellowKey ทาง Microsoft แนะนำให้ลบ autofstx.exe entry ออกจากค่า BootExecute REG_MULTI_SZ ของ Session Manager จากนั้นให้ทำการตั้งค่า BitLocker trust สำหรับ WinRE ขึ้นมาใหม่ โดยปฏิบัติตามขั้นตอนที่ระบุไว้ในหัวข้อ "Mitigations" ของประกาศแจ้งเตือนช่องโหว่ CVE-2026-33825
Will Dormann นักวิเคราะห์ช่องโหว่ระดับสูงจาก Tharros อธิบายว่า "ให้ชัดเจนคือ การแก้ไขนี้จะช่วยป้องกันไม่ให้เครื่องมือ FsTx Auto Recovery (autofstx.exe) เริ่มทำงานโดยอัตโนมัติเมื่อระบบ WinRE ถูกเรียกใช้งาน" "เมื่อปรับการตั้งค่าในจุดนี้ กระบวนการทำงานของระบบ Transactional NTFS ที่ส่งผลให้ไฟล์ winpeshl.ini ถูกลบทิ้งไป ก็จะไม่เกิดขึ้นอีกต่อไป"
นอกจากนี้ Microsoft ยังแนะนำให้ลูกค้าปรับการตั้งค่า BitLocker บนอุปกรณ์ที่ถูกเข้ารหัสไว้แล้ว โดยเปลี่ยนจากโหมด "TPM-only" เป็นโหมด "TPM+PIN" ผ่าน PowerShell, Command Line หรือ Control Panel ซึ่งจะบังคับให้ผู้ใช้ต้องป้อนรหัส PIN ก่อนบูตระบบเพื่อถอดรหัสไดรฟ์เมื่อเปิดเครื่อง และจะช่วยป้องกันการโจมตีจาก YellowKey ได้
สำหรับอุปกรณ์ที่ยังไม่ได้เข้ารหัส ผู้ดูแลระบบสามารถเปิดใช้งานตัวเลือก "Require additional authentication at startup"ผ่านทาง Microsoft Intune หรือ Group Policies พร้อมทั้งต้องตรวจสอบให้มั่นใจว่าได้ตั้งค่า "Configure TPM startup PIN" ให้เป็น "Require startup PIN with TPM" เรียบร้อยแล้ว
ที่มา : bleepingcomputer
You must be logged in to post a comment.