Nightmare Eclipse เผย 0‑day ช่วยข้ามการป้องกัน BitLocker …

Nightmare Eclipse นักวิจัยช่องโหว่ระดับศูนย์วันเปิดเผยโค้ด GreatXML ที่อ้างว่าสามารถข้ามการป้องกัน BitLocker ได้บนระบบ Windows ที่เคยรัน Microsoft Defender Offline มาก่อน เหตุการณ์นี้กระตุ้นความกังวลเรื่องความปลอดภัยของการเข้ารหัสระดับระบบและความสัมพันธ์ระหว่างบริษัทเทคโนโลยีกับชุมชนผู้ตรวจสอบช่องโหว่

Overview

นักวิจัยที่ใช้ชื่อว่า Nightmare Eclipse มีประวัติโพสต์ช่องโหว่ศูนย์วันหลายรายการในช่วงไม่กี่เดือนที่ผ่านมา โดยล่าสุดเพิ่งปล่อยโค้ดสำหรับ RoguePlanet ซึ่งให้สิทธิ์การเข้าถึงระดับ SYSTEM ก่อนหน้านี้เขาได้บ่งชี้ว่าเขามี zero‑day ทั้งหมด แปดรายการ รวมถึง RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma, และ MiniPlasma ที่ได้รับการแก้ไขในงาน Patch Tuesday ล่าสุด

การเปิดเผยของ GreatXML เกิดขึ้นภายในวันเดียวกันกับที่เขาได้อัปเดตข้อมูลเกี่ยวกับ RoguePlanet ทำให้ชุมชนความปลอดภัยต้องเฝ้าติดตามการพัฒนาใหม่ ๆ ของนักวิจัยนี้อย่างใกล้ชิด ผู้สังเกตการณ์บางส่วนเชื่อว่า Nightmare Eclipse อาจเคยทำงานกับ Microsoft มาก่อน ซึ่งอาจเป็นส่วนหนึ่งของแรงจูงใจส่วนบุคคลที่ทำให้เขาตั้งเป้าหมายต่อบริษัทเทคโนโลยีระดับโลก

Exploit Mechanics

ตามที่ Nightmare Eclipse ระบุ การทำงานของ GreatXML ต้องอาศัยการวางไฟล์สองประเภทบนพาร์ติชันกู้คืนของ Windows ขั้นตอนที่อธิบายไว้คือ

• คัดลอกไฟล์ unattend.xml และไดเรกทอรี Recovery ไปยังรูทของพาร์ติชัน Recovery
• รีบูตระบบเข้าสู่ Windows Recovery Environment (WinRE) โดยกด Shift + Restart**

เมื่อทำตามขั้นตอนอย่างถูกต้อง ระบบจะเปิด command prompt ที่มีสิทธิ์เต็มต่อโวลุมที่ถูกเข้ารหัสด้วย BitLocker นักวิจัยบอกว่าเงื่อนไขสำคัญคือเครื่องเคยรัน Microsoft Defender Offline ไว้ก่อนหน้านี้ แม้ว่าเขาจะอธิบายว่าเขาพบช่องโหว่นี้โดยบังเอิญภายใน สี่ชั่วโมง เท่านั้น

Microsoft’s Reaction

บริษัท Microsoft ให้การตอบรับต่อการเปิดเผย RoguePlanet โดยบอกว่า “รับทราบและกำลังตรวจสอบความถูกต้องและความเป็นไปได้ของการใช้งาน” ต่อ GreatXML บริษัทยังไม่มีการให้ข้อมูลเพิ่มเติมเกี่ยวกับการปล่อยอัปเดตแก้ไขหรือกำหนดเวลาในการดำเนินการ

Microsoft ยังระบุว่าไม่มีช่องโหว่ใดที่ได้รับการแจ้งผ่านช่องทางอย่างเป็นทางการของบริษัทก่อนที่จะถูกเปิดเผยต่อสาธารณะ นอกจากนี้ บริษัทยังได้บล็อกบัญชี GitHub เก่า ของ Nightmare Eclipse และเคยส่งคำเตือนทางกฎหมายต่อผู้วิจัย ก่อนจะถอนคำกล่าวเหล่านั้นหลังจากได้รับแรงกดดันจากชุมชนความปลอดภัย

Community Verification

นักวิจัยด้านความปลอดภัย Will Dormann ได้ทำการทดลองตามขั้นตอนของ GreatXML และสรุปว่าการอธิบายของนักวิจัยอาจมีข้อบกพร่อง ในกรณีของเขา คำสั่ง prompt ปรากฏขึ้นเฉพาะเมื่อ Microsoft Defender Offline ทำงานในครั้งต่อไป

Dormann ชี้ว่าเพื่อให้สแกน Defender Offline ทำงานต้องเข้าสู่ระบบ Windows ด้วยบัญชีผู้ดูแลระบบ ซึ่งถ้ามีสิทธิ์ระดับนี้อยู่แล้ว ผู้ใช้ก็สามารถปิดการทำงานของ BitLocker ได้โดยตรง ทำให้ข้อได้เปรียบของช่องโหว่ดังกล่าวอาจไม่ชัดเจนเท่าที่อ้างไว้

นอกจากนี้ เขายังบอกว่าแม้จะทำการวางไฟล์สองไฟล์ใน WinRE แล้วกด Shift‑Restart ระบบ Windows รุ่น 11 ที่เขาทดสอบสามเวอร์ชันก็ไม่ได้เข้าสู่โหมดสแกนอัตโนมัติ ทำให้ขั้นตอนที่อ้างว่า “ระบบจะเข้าสู่ Microsoft Defender Offline โดยอัตโนมัติ” ไม่สอดคล้องกับพฤติกรรมจริง

Broader Impact

หาก GreatXML สามารถทำงานได้จริง จะส่งผลกระทบต่อความเชื่อมั่นของผู้ใช้ที่พึ่งพา BitLocker เป็นมาตรการป้องกันข้อมูลสำคัญ การบังคับให้ผู้วิจัยต้องแจ้งช่องโหว่ผ่านช่องทางอย่างเป็นทางการของ Microsoft จึงเป็นประเด็นสำคัญในการรักษาความปลอดภัยระดับระบบ

ในขณะเดียวกัน ความตึงเครียดระหว่าง Microsoft กับผู้ตรวจสอบช่องโหว่อาจทำให้การสื่อสารและการรับมือกับศูนย์วันในอนาคตช้าลง การที่ Nightmare Eclipse ยังกล่าวว่าจะยังคงปล่อย zero‑day เพิ่มเติม แม้ว่าแผนการปล่อยในวันที่ 14 กรกฎาคม จะอาจเลื่อนหรือหยุดชะงัก ทำให้บริษัทเทคโนโลยีต้องเตรียมพร้อมต่อความเสี่ยงจากช่องโหว่ที่ยังไม่ได้รับการตรวจสอบ

Summary

การเปิดเผย GreatXML ของ Nightmare Eclipse ยังคงอยู่ในขั้นตอนตรวจสอบโดยผู้เชี่ยวชาญและ Microsoft ผลกระทบต่อระบบเข้ารหัส BitLocker ยังไม่ชัดเจน แต่เหตุการณ์นี้เน้นย้ำความสำคัญของการสื่อสารระหว่างผู้ตรวจสอบช่องโหว่และผู้ผลิตซอฟต์แวร์เพื่อรักษาความปลอดภัยของผู้ใช้ในระดับระบบ.