ช็อกวงการไซเบอร์! พบบั๊ก YellowKey ทางลับ BitLocker” เจาะทะลุข้อมูล Windows 11 ได้ง่ายๆ โดยไม่ต้องใช้รหัสผ่าน
กลายเป็นประเด็นทอล์กออฟเดอะทาวน์ในวงการความปลอดภัยไซเบอร์ทันที เมื่อนักวิจัยด้านความปลอดภัยที่ใช้นามแฝงว่า Nightmare-Eclipse ได้ทำการปล่อยเครื่องมือที่ชื่อว่า YellowKey ซึ่งเป็นเครื่องมือเจาะระบบที่สามารถบายพาส ระบบเข้ารหัสข้อมูลทั้งหมดของ BitLocker ได้อย่างสมบูรณ์แบบ
โดยนักวิจัยรายนี้ถึงกับออกปากว่า นี่คือหนึ่งในช่องโหว่ที่บ้าคลั่งที่สุด เท่าที่เคยเจอมา และยังตั้งข้อสังเกตแรงว่า Microsoft อาจจะจงใจใส่ Backdoor นี้เข้ามาในระบบเองด้วยซ้ำ
ความน่ากลัวของ ช่องโหว่ BitLocker ในครั้งนี้คือความง่ายในการลงมือ โดย Nightmare-Eclipse อธิบายว่าขั้นตอนการทำงานของ YellowKey exploit นั้นเรียบง่ายอย่างไม่น่าเชื่อจนดูผิดปกติสำหรับช่องโหว่ใหม่ที่ไม่เคยมีใครค้นพบมาก่อน
โดยผู้โจมตีเพียงแค่คัดลอกโฟลเดอร์ที่ชื่อว่า FsTx ลงในแฟลชไดรฟ์ที่ฟอร์แมตเป็นระบบไฟล์ทั่วไปที่ Windows รองรับ เช่น NTFS, FAT32 หรือ exFAT และหากไม่มี USB ก็ยังสามารถคัดลอกไฟล์ FsTx นี้ลงในพาร์ติชัน EFI ของ Windows โดยตรงได้เช่นกัน (แต่ต้องถอดฮาร์ดดิสก์ที่เข้ารหัสออกชั่วคราว)
หลังจากเตรียมไฟล์เสร็จ แค่รีบูตเครื่องที่เปิดใช้งาน BitLocker อยู่ แล้วเข้าสู่โหมดกู้คืนระบบ (Windows Recovery Environment หรือ WinRE) จากนั้นกดปุ่มตามลำดับที่กำหนดไว้
ผลลัพธ์ที่ได้คือ หน้าต่าง Command Shell จะปรากฏขึ้นมาทันที ซึ่งจะช่วยให้ผู้โจมตีสามารถเข้าถึงข้อมูลในไดรฟ์ที่ล็อกด้วย BitLocker ได้อย่างไม่มีข้อจำกัด โดยไม่ต้องกรอกรหัสผ่านใดๆ ทั้งสิ้น สามารถสั่งเปิดดู คัดลอก หรือจัดการไฟล์ทุกอย่างได้ตามใจชอบ
เหตุผลที่ทำให้ Nightmare-Eclipse ปักใจเชื่อว่าช่องโหว่นี้คือ Microsoft backdoor ที่ถูกจงใจสร้างขึ้นมา เนื่องจากตัวส่วนประกอบ (Component) ที่ทำหน้าที่เปิดสวิตช์ให้เกิดช่องโหว่นี้ ถูกพบอยู่ภายในอิมเมจอย่างเป็นทางการของ WinRE เท่านั้น
แม้ว่าส่วนประกอบที่มีชื่อเดียวกันนี้จะปรากฏอยู่ในไฟล์ติดตั้ง Windows มาตรฐานทั่วไปด้วย แต่กลับไม่มีพฤติกรรมแฝงที่ช่วยให้บายพาส BitLocker ได้เหมือนกับที่พบในระบบที่ใช้งานจริง
Nightmare-Eclipse บอกว่า เขาหาคำอธิบายอื่นแล้ว แต่มันไม่มีเหตุผลอื่นเลยนอกจากคำว่า ‘ตั้งใจทำ’ และที่แปลกคือ ช่องโหว่นี้ส่งผลกระทบเฉพาะบน Windows 11 และ Windows Server 2022/2025 เท่านั้น ส่วน Windows 10 รอดตัว ไม่ได้รับผลกระทบนี้
ในปัจจุบัน นักวิจัยจากหน่วยงานภายนอก หลายรายได้เริ่มเข้าไปตรวจสอบซอร์สโค้ดและข้อมูลที่ถูกเผยแพร่บน GitHub ของ Nightmare-Eclipse และยืนยันแล้วว่า YellowKey exploit สามารถใช้งานและเจาะระบบได้จริงตามที่กล่าวอ้าง
ตอนนี้ ก็ต้องรอ Microsoft ออกมาแถลงการณ์เรื่องนี้แหละนะ ว่าเป็นความผิดพลาดหรือเหตุผลอื่น ๆ
ที่มา
