ในงาน Black Hat USA 2025 และ DEF CON 33 ทีม Security Testing & Offensive Research at Microsoft (STORM) ได้เปิดเผยช่องโหว่ใหม่หลายรายการใน Windows Recovery Environment (WinRE) ที่อาจถูกใช้เพื่อ ข้ามการป้องกันของ BitLocker และดึงข้อมูลที่ถูกเข้ารหัสออกมาได้
สิ่งที่น่ากังวลคือ WinRE ถือเป็นหนึ่งในฟีเจอร์สำคัญของ Windows และสามารถเข้าถึงได้ง่าย เพียงกดปุ่ม Shift ค้างไว้แล้วเลือก Restart จากหน้าล็อกอินของ Windows
BitLocker คืออะไร และทำไมช่องโหว่นี้ถึงอันตราย?
BitLocker หรือ Device Encryption (DE) เป็นฟีเจอร์ที่ใช้การเข้ารหัสทั้งไดรฟ์ (Full Volume Encryption – FVE) เพื่อปกป้องข้อมูลในเครื่องจากผู้โจมตีที่เข้าถึงฮาร์ดแวร์โดยตรง ซึ่งถือเป็นหนึ่งในเกราะป้องกันขั้นสูงสุดของ Windows
หลังจากเปิดตัวฟีเจอร์นี้ Microsoft ได้ปรับโครงสร้างของ WinRE เพื่อให้ยังสามารถกู้คืนระบบได้แม้ในกรณีที่ไดรฟ์ระบบซึ่งถูกเข้ารหัสไม่สามารถใช้งานได้ โดยมีการเปลี่ยนแปลงหลัก ๆ เช่น
- ย้ายไฟล์ WinRE.wim จากไดรฟ์ OS ที่เข้ารหัสไปยังพาร์ทิชัน Recovery ที่ไม่เข้ารหัส เพื่อให้เข้าถึงได้แม้ระบบล้มเหลว
- ใช้ Trusted WIM Boot เพื่อตรวจสอบไฟล์อิมเมจให้ตรงกับค่าแฮชที่เชื่อถือได้ ก่อนจะปลดล็อกไดรฟ์ OS อัตโนมัติ
- เพิ่มกลไก Re-lock ที่จะล็อกไดรฟ์อีกครั้งหากมีการเรียกใช้เครื่องมือเสี่ยง เช่น Command Prompt ซึ่งจะต้องใช้รหัสกู้คืน BitLocker ในการปลดล็อกใหม่
ช่องโหว่เกิดขึ้นได้อย่างไร
ทีม STORM ระบุว่า เมื่อผ่านขั้นตอนการตรวจสอบ Trusted WIM Boot แล้ว WinRE จะเข้าสู่โหมด Auto-unlock ซึ่งสามารถอ่านไฟล์จากพาร์ทิชันที่ไม่ถูกเข้ารหัส เช่น EFI System Partition และ Recovery Volume ได้
พวกเขาพบช่องโหว่หลายจุดในขั้นตอนบูตและการทำงานของ WinRE ซึ่งเดิมทีพื้นผิวการโจมตีนี้แทบไม่มีความเสี่ยงมาก่อน จนกระทั่งมีการเปลี่ยนแปลงเพื่อตอบรับการทำงานร่วมกับ BitLocker
วิธีป้องกันตามคำแนะนำของ Microsoft
เพื่อปิดความเสี่ยง Microsoft แนะนำว่า:
- เปิดใช้ TPM พร้อม PIN สำหรับการยืนยันตัวตนก่อนบูต (Pre-boot Authentication) เพื่อลดการพึ่งพา Auto-unlock
- เปิดใช้ REVISE Mitigation (ตาม KB5025885) เพื่อป้องกันการโจมตีแบบ Downgrade
- อัปเดต Windows ให้เป็นเวอร์ชันล่าสุด ซึ่งได้รวมแพตช์ปิดช่องโหว่เหล่านี้แล้ว
รายละเอียดช่องโหว่และการอัปเดตที่ออกแล้ว
ช่องโหว่นี้ถูกติดตามภายใต้รหัส:
- CVE-2025-48800
- CVE-2025-48003
- CVE-2025-48804
- CVE-2025-48818
Microsoft ได้ออกแพตช์แล้วใน Windows 10 และ Windows 11 ผ่านการอัปเดต Patch Tuesday เดือนกรกฎาคม 2025 และเนื่องจากการอัปเดตเป็นแบบสะสม (Cumulative) ผู้ใช้สามารถติดตั้งแพตช์ล่าสุดของเดือนสิงหาคม 2025 เพื่ออุดช่องโหว่นี้ได้เช่นกัน ได้แก่:
- Windows 11: KB5063878 (เวอร์ชัน 24H2) และ KB5063875 (เวอร์ชัน 23H2)
- Windows 10: KB5063709, KB5063877, KB5063871, KB5063889
สรุป
แม้ WinRE จะเป็นเครื่องมือสำคัญในการกู้คืนระบบ แต่เมื่อมีการเปลี่ยนแปลงเพื่อตอบสนองการทำงานของ BitLocker ก็ทำให้เกิดช่องโหว่ใหม่ที่ผู้โจมตีอาจใช้ข้ามการเข้ารหัสได้ การเปิดใช้ TPM พร้อม PIN และการอัปเดตระบบอย่างสม่ำเสมอ คือวิธีป้องกันที่ Microsoft แนะนำอย่างชัดเจน
ที่มา: Neowin
