Chỉ cần cắm một chiếc USB, giữ phím [Ctrl] trong lúc khởi động — và toàn bộ dữ liệu được mã hóa bởi BitLocker có thể bị truy cập hoàn toàn trong vài giây. Đây là mô tả về lỗ hổng zero-day mang tên "YellowKey" vừa được công bố công khai, nhắm vào cấu hình mặc định của BitLocker trên Windows 11. Ars Technica xác nhận nhiều nhà nghiên cứu bảo mật độc lập đã tái hiện thành công cuộc tấn công này, trong khi Microsoft mới chỉ phản hồi ngắn gọn rằng đang "điều tra".
YellowKey hoạt động như thế nào — và tại sao cấu hình mặc định lại nguy hiểm?
YellowKey là exploit do nhà nghiên cứu có biệt danh Nightmare-Eclipse công bố trên GitHub. Mục tiêu là chế độ TPM-only — tức là BitLocker chỉ lưu khóa giải mã trong chip TPM (Trusted Platform Module) mà không yêu cầu thêm PIN khi khởi động. Đây chính là cấu hình mặc định trên phần lớn máy tính Windows 11 hiện nay.
Quy trình tấn công được mô tả gồm bốn bước đơn giản đến đáng lo ngại:
- Sao chép thư mục
FsTxtùy chỉnh từ trang exploit của Nightmare-Eclipse vào USB định dạng NTFS hoặc FAT - Cắm USB vào thiết bị được bảo vệ bởi BitLocker
- Khởi động thiết bị, ngay lập tức giữ phím [Ctrl]
- Vào môi trường Windows Recovery (WinRE)
Thông thường, WinRE sẽ yêu cầu nhập BitLocker Recovery Key tại bước này. Tuy nhiên, theo Ars Technica, YellowKey bằng cách nào đó vô hiệu hóa cơ chế bảo vệ này và mở thẳng một cửa sổ CMD.EXE với quyền truy cập đầy đủ vào toàn bộ ổ đĩa đã được mã hóa. Các nhà nghiên cứu Kevin Beaumont và Will Dormann đều xác nhận exploit hoạt động đúng như mô tả.
Cơ chế kỹ thuật: Transactional NTFS bị lợi dụng để ghi đè cấu hình khởi động
Trọng tâm của exploit nằm ở thư mục FsTx được tạo đặc biệt. Theo phân tích của Will Dormann — chuyên gia phân tích lỗ hổng cấp cao tại Tharros Labs — hàm FsTxFindSessions() trong fstx.dll của Windows tham chiếu trực tiếp đến \System Volume Information\FsTx.
Cơ chế liên quan là Transactional NTFS (TxF) — một tính năng cho phép các thao tác file có tính nguyên tử (atomic), tương tự transaction trong cơ sở dữ liệu. Vấn đề ở đây: thư mục FsTx trên USB chứa các đường dẫn trỏ đến \??\C:\Windows\win.ini và \??\X:\Windows\System32\winpeshl.ini.
File winpeshl.ini chính là thứ kiểm soát WinRE sẽ chạy chương trình gì khi khởi động. Trong điều kiện bình thường, nó khởi chạy recenv.exe — tức giao diện phục hồi Windows. Nhưng khi YellowKey can thiệp, cơ chế TxF từ USB xóa file winpeshl.ini trên ổ X:, khiến WinRE không tải được môi trường phục hồi thông thường và thay vào đó mở thẳng cmd.exe với BitLocker đã được mở khóa.
Đáng chú ý, Dormann nhận định đây có thể là hai lỗ hổng độc lập: một là việc bypass TPM-only BitLocker, hai là việc \System Volume Information\FsTx của một volume có thể sửa đổi nội dung của volume khác — bản thân điều này đã là một vấn đề bảo mật nghiêm trọng.
Phạm vi ảnh hưởng và biện pháp tạm thời trong khi chờ bản vá
| Yếu tố | Chi tiết |
|---|---|
| Đối tượng bị ảnh hưởng | Windows 11 với BitLocker cấu hình mặc định (TPM-only) |
| Điều kiện tấn công | Cần tiếp cận vật lý với thiết bị |
| Thời gian thực hiện | Vài giây |
| Hậu quả | Truy cập đầy đủ ổ đĩa mã hóa (đọc, sửa, xóa) |
| Bản vá chính thức | Chưa có — Microsoft đang "điều tra" |
Giới chuyên gia bảo mật từ lâu đã cảnh báo rằng TPM-only là cấu hình không đủ an toàn. Khuyến nghị nhất quán là chuyển sang chế độ TPM + PIN, tức yêu cầu nhập mã PIN mỗi khi khởi động trước khi TPM giải phóng khóa mã hóa. YellowKey chính là minh chứng thực tế cho cảnh báo đó.
Các bước cần thực hiện ngay:
- Kiểm tra cấu hình hiện tại: Mở Command Prompt với quyền Administrator, chạy lệnh
manage-bde -status. Nếu không thấy yêu cầu PIN khi khởi động, máy đang dùng TPM-only và có nguy cơ bị ảnh hưởng. - Chuyển sang TPM + PIN: Quản trị viên IT doanh nghiệp nên áp dụng Group Policy để bắt buộc cấu hình này trên toàn bộ thiết bị quản lý. Người dùng cá nhân có thể thực hiện qua
gpedit.msc→ Computer Configuration → Administrative Templates → Windows Components → BitLocker Drive Encryption. - Bật mật khẩu BIOS/UEFI: Kevin Beaumont khuyến nghị bước này như một lớp bảo vệ bổ sung, dù mức độ hiệu quả trực tiếp với YellowKey chưa được xác nhận.
- Chuẩn bị quy trình remote wipe: Với thiết bị doanh nghiệp, đảm bảo có thể xóa dữ liệu từ xa ngay khi phát hiện mất máy.
YellowKey không đơn độc — Chuỗi tấn công nhắm vào TPM-only BitLocker
YellowKey không phải là trường hợp đầu tiên. Tháng 5/2026, exploit BitUnlocker được công bố, khai thác lỗ hổng CVE-2025-48804 để cho phép kẻ tấn công có tiếp cận vật lý khởi động WinRE đã bị chỉnh sửa và truy cập ổ BitLocker trong vài phút. BitUnlocker đã được kiểm chứng trên Windows 11 24H2 với Secure Boot và TPM 2.0, trên nhiều dòng máy Dell, Lenovo, HP với cả chip Intel lẫn AMD.
Điểm khác biệt về kỹ thuật: BitUnlocker dùng tấn công Secure Boot downgrade, còn YellowKey lợi dụng Transactional NTFS. Nhưng kết quả cuối cùng giống nhau: TPM giải phóng khóa mã hóa mà không có sự xác thực đầy đủ từ người dùng.
Phía phần cứng cũng đang phản ứng. HP vừa công bố HP TPM Guard tại sự kiện HP Imagine 2026 (ngày 24/3/2026) — giải pháp phần cứng đầu tiên được thiết kế để ngăn chặn các cuộc tấn công nghe lén bus TPM (TPM bus sniffing). Tính năng này sẽ có mặt trên một số dòng PC thương mại HP G2 từ tháng 7/2026, nhắm vào khách hàng doanh nghiệp và chính phủ. Lưu ý: HP TPM Guard không trực tiếp vá YellowKey (vốn khai thác WinRE chứ không phải bus TPM), nhưng phản ánh xu hướng các nhà sản xuất đang nghiêm túc đối phó với nhóm tấn công "tiếp cận vật lý".
Đối với người dùng tại Việt Nam, đặc biệt là các doanh nghiệp, cơ quan nhà nước và tổ chức tài chính đang sử dụng Windows 11 với BitLocker làm giải pháp bảo mật dữ liệu: đây là thời điểm cần rà soát lại toàn bộ cấu hình. Trong bối cảnh laptop công tác thường xuyên được mang ra ngoài văn phòng, rủi ro từ mất cắp hoặc thất lạc thiết bị kết hợp với lỗ hổng này là hoàn toàn thực tế. Việc chuyển sang TPM + PIN không tốn chi phí và có thể thực hiện ngay hôm nay — không cần chờ bản vá từ Microsoft.
