Hai lỗ hổng CVE mới được công bố trong tính năng mã hóa ổ đĩa BitLocker của Microsoft có thể cho phép kẻ tấn công bỏ qua các biện pháp bảo vệ mã hóa trên các hệ thống Windows. Các lỗ hổng này, được theo dõi là CVE-2025-55333 và CVE-2025-55338, liên quan đến logic so sánh không hoàn chỉnh và các điểm yếu cấu hình.

Chúng có thể cho phép một người dùng cục bộ, có quyền hạn thấp làm suy yếu khả năng bảo vệ của BitLocker. BitLocker được thiết kế để bảo vệ dữ liệu ở trạng thái tĩnh bằng cách mã hóa toàn bộ ổ đĩa và yêu cầu các yếu tố xác thực (như khóa TPM hoặc mã PIN) trước khi mở khóa.

Cả hai CVE đều nhắm vào thành phần xác thực chính sách mã hóa và các quy tắc sử dụng khóa.

Phân tích kỹ thuật các lỗ hổng BitLocker

Bằng cách khai thác các kiểm tra yếu tố bị thiếu, một kẻ tấn công đã có quyền thực thi mã hạn chế trên thiết bị có thể lừa BitLocker xử lý một yêu cầu trái phép như hợp lệ.

Điều này dẫn đến việc giải mã các ổ đĩa hoặc làm lộ khóa mã hóa mà không cần thông tin xác thực phù hợp.

CVE-2025-55333: Logic so sánh không hoàn chỉnh

CVE-2025-55333 bắt nguồn từ một logic so sánh không hoàn chỉnh với các yếu tố bị thiếu trong mã đánh giá chính sách. Logic dễ bị tấn công này không xác minh tất cả các thuộc tính bắt buộc trước khi phê duyệt yêu cầu giải mã.

Việc bỏ qua các kiểm tra yếu tố bảo mật quan trọng cho phép kẻ tấn công thao túng quá trình xác thực.

Một người dùng có quyền cục bộ thấp có thể lợi dụng điểm yếu này để làm lộ dữ liệu được bảo vệ, làm suy giảm tính bảo mật tổng thể của hệ thống. Tầm quan trọng của việc cập nhật bản vá khắc phục lỗ hổng CVE này là rất lớn.

CVE-2025-55338: Điểm yếu cấu hình và thiếu kiểm tra

CVE-2025-55338 chia sẻ cùng một vector bỏ qua trong cảnh báo do Microsoft công bố, cho thấy các kiểm tra chính sách tương tự không đủ khi xử lý các đối số lệnh nhất định.

Điều này ngụ ý rằng cả hai lỗ hổng đều liên quan đến việc xử lý không đúng các yêu cầu giải mã, đặc biệt là khi các yêu cầu này có thể được chế tạo để bỏ qua các cơ chế kiểm tra bảo mật dự kiến.

Việc khai thác thành công lỗ hổng CVE này cho phép bỏ qua các lớp bảo vệ của BitLocker, tiềm ẩn nguy cơ rò rỉ dữ liệu nhạy cảm.

Mức độ nghiêm trọng và tác động

Cả hai lỗ hổng đều có xếp hạng mức độ nghiêm trọng là Important với điểm CVSS v3.1 cơ sở là 6.1 cho các cuộc tấn công lân cận mạng và 5.3 cho các cuộc tấn công cục bộ.

Các con số này phản ánh độ phức tạp khai thác vừa phải nhưng tác động tiềm tàng cao đến tính bảo mật và tính toàn vẹn của dữ liệu. Khả năng làm lộ khóa mã hóa hoặc giải mã ổ đĩa mà không cần thông tin xác thực chính đáng đặt ra một mối đe dọa mạng đáng kể.

Tác động đến dữ liệu và hệ thống

• Đánh cắp dữ liệu: Kẻ tấn công có thể truy cập và đánh cắp dữ liệu được mã hóa.
• Toàn vẹn dữ liệu: Dữ liệu trên ổ đĩa có thể bị sửa đổi trái phép sau khi giải mã.
• Chiếm quyền điều khiển: Mặc dù không trực tiếp là chiếm quyền root, việc giải mã cho phép truy cập sâu hơn vào hệ thống.

Tác động của các lỗ hổng CVE này có thể đặc biệt nghiêm trọng trong các môi trường yêu cầu tuân thủ các quy định bảo mật nghiêm ngặt hoặc xử lý dữ liệu nhạy cảm cao.

Chiến lược vá lỗi và tăng cường an ninh mạng

Microsoft đã chỉ định cả hai lỗ hổng cho CNA nội bộ của mình và phát hành các bản vá vào ngày 14 tháng 10 năm 2025. Các quản trị viên được khuyến nghị áp dụng bản cập nhật bảo mật tích lũy tháng 10 ngay lập tức. Bản vá này sửa lỗi logic so sánh bằng cách thực thi xác thực yếu tố hoàn chỉnh và cập nhật các quy trình xử lý lệnh của BitLocker để từ chối các yêu cầu không đúng định dạng. Để bảo vệ hệ thống khỏi những lỗ hổng CVE này, cần có một chiến lược toàn diện.

Cập nhật và quản lý bản vá

Đảm bảo tất cả các cài đặt Windows có BitLocker được bật đều được cập nhật bằng bản vá tháng 10 là bước đầu tiên và quan trọng nhất. Đây là một phần thiết yếu của quy trình cập nhật bản vá định kỳ.

Cho đến khi các bản cập nhật được áp dụng, các tổ chức nên hạn chế tạo tài khoản cục bộ và loại bỏ các đặc quyền quản trị BitLocker không cần thiết. Việc này giảm thiểu bề mặt tấn công tiềm năng mà các lỗ hổng CVE có thể khai thác.

Cấu hình BitLocker tăng cường

Xem xét cài đặt Group Policy để xác nhận rằng các yếu tố xác thực BitLocker, bao gồm TPM, PIN và khóa khởi động, được thực thi nghiêm ngặt. Việc này đảm bảo rằng các cơ chế bảo vệ cốt lõi của BitLocker không bị bỏ qua.

Hạn chế đặc quyền người dùng cục bộ để ngăn các tài khoản không đáng tin cậy chạy các công cụ quản lý BitLocker. Điều này trực tiếp chống lại vector tấn công của người dùng có đặc quyền thấp.

// Ví dụ: Kiểm tra cấu hình Group Policy cho BitLocker
// Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption
// Kiểm tra các cài đặt như:
//   - Choose how BitLocker-protected operating system drives can be recovered
//   - Require additional authentication at startup
//   - Configure TPM platform validation profile

Giám sát chủ động và quản lý rủi ro

Giám sát các lệnh thực thi BitLocker bất thường và nhật ký hệ điều hành có thể giúp phát hiện các nỗ lực bỏ qua. Điều này cung cấp một lớp phòng thủ thứ cấp, bổ sung cho các bản vá và cấu hình.

Kết hợp các lỗ hổng CVE mới này vào quy trình quét lỗ hổng để xác minh việc khắc phục trên toàn bộ môi trường của bạn. Việc này đảm bảo rằng không có hệ thống nào bị bỏ sót.

Microsoft BitLocker vẫn là một giải pháp mã hóa mạnh mẽ khi được cấu hình và vá lỗi đúng cách. Tuy nhiên, các lỗ hổng CVE này chứng minh rằng ngay cả các tính năng bảo mật trưởng thành cũng yêu cầu xem xét liên tục và cập nhật kịp thời để luôn đi trước các kỹ thuật bỏ qua mới nổi.