Zero-day "YellowKey" เจาะ BitLocker บน Windows 11 ได้ในไม่กี่วินาที — ค่าเริ่มต้นอันตราย

นักวิจัยด้านความปลอดภัยได้เผยแพร่เอ็กซ์พลอยต์ Zero-day ชื่อ "YellowKey" ที่สามารถเจาะระบบเข้ารหัสดิสก์ BitLocker บน Windows 11 ในการตั้งค่าเริ่มต้นได้ภายในไม่กี่วินาที โดยอาศัยเพียงการเข้าถึงอุปกรณ์ทางกายภาพ ตามรายงานของ Ars Technica Microsoft ยืนยันเพียงว่า "อยู่ระหว่างการสอบสวน" และยังไม่มีแพตช์อย่างเป็นทางการ ซึ่งถือเป็นความเสี่ยงร้ายแรงสำหรับองค์กรและผู้ใช้ทั่วโลก รวมถึงในประเทศไทย

YellowKey คืออะไร และทำงานอย่างไร

YellowKey คือเอ็กซ์พลอยต์ที่เผยแพร่บน GitHub โดยนักวิจัยที่ใช้นามแฝงว่า Nightmare-Eclipse โดยมุ่งเป้าไปที่การตั้งค่า BitLocker แบบ "TPM-only" ซึ่งเป็นค่าเริ่มต้นของ Windows 11 ในโหมดนี้ กุญแจถอดรหัสจะถูกเก็บไว้ใน TPM (Trusted Platform Module) เพียงอย่างเดียว โดยไม่ต้องใส่ PIN เพิ่มเติมเมื่อเปิดเครื่อง

ขั้นตอนการโจมตีที่รายงานระบุว่าเรียบง่ายอย่างน่าตกใจ ได้แก่:

1. คัดลอกโฟลเดอร์ FsTx ที่ดัดแปลงพิเศษไปยัง USB Drive ที่ฟอร์แมตแบบ NTFS หรือ FAT
2. เสียบ USB เข้ากับอุปกรณ์ที่ป้องกันด้วย BitLocker
3. เปิดเครื่องแล้วกดปุ่ม Ctrl ค้างไว้ทันที เพื่อเข้าสู่ Windows Recovery Environment (WinRE)
4. ระบบจะเปิด CMD.EXE พร้อมสิทธิ์เข้าถึงไดรฟ์ทั้งหมดโดยไม่ต้องใส่รหัส BitLocker

นักวิจัยหลายราย รวมถึง Kevin Beaumont และ Will Dormann ได้ยืนยันแล้วว่าเอ็กซ์พลอยต์นี้ทำงานได้จริงตามที่อธิบายไว้

กลไกเบื้องหลัง: Transactional NTFS ที่ถูกนำมาใช้ในทางที่ผิด

หัวใจของ YellowKey อยู่ที่โฟลเดอร์ FsTx ที่สร้างขึ้นเป็นพิเศษ ซึ่งเชื่อมโยงกับกลไก Transactional NTFS (TxF) ของ Microsoft — ระบบที่ให้ความเป็น Atomic Transaction แก่การดำเนินการไฟล์

Will Dormann นักวิเคราะห์ช่องโหว่อาวุโสจาก Tharros Labs ชี้ว่าฟังก์ชัน FsTxFindSessions() ใน fstx.dll ของ Windows อ้างอิงไปยัง \System Volume Information\FsTx โดยตรง และภายในไดเรกทอรี FsTx ของ YellowKey มีพาธที่ชี้ไปยัง \??\C:\Windows\win.ini และ \??\X:\Windows\System32\winpeshl.ini

ไฟล์ winpeshl.ini คือตัวควบคุมว่า WinRE จะรันโปรแกรมใดเมื่อเริ่มต้น ในสถานการณ์ปกติ ไฟล์นี้จะสั่งให้รัน recenv.exe ซึ่งเป็นหน้าจอ Recovery มาตรฐาน แต่เมื่อผ่าน YellowKey กลไก Transactional NTFS บน USB จะลบ winpeshl.ini บนไดรฟ์ X: ส่งผลให้ระบบเปิด cmd.exe พร้อมสิทธิ์เต็มแทน

Dormann ยังตั้งข้อสังเกตว่า นอกจากการข้ามผ่าน BitLocker แล้ว การที่ไดเรกทอรี \System Volume Information\FsTx ของ Volume หนึ่งสามารถแก้ไขเนื้อหาของอีก Volume หนึ่งได้นั้น ดูเหมือนจะเป็นช่องโหว่ที่เป็นอิสระในตัวเองอีกด้วย

ขอบเขตความเสี่ยงและแนวทางป้องกันเบื้องต้น

สรุปข้อเท็จจริงสำคัญที่ควรทราบ ณ ขณะนี้:

ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำแนวทางป้องกันเบื้องต้นดังนี้:

• เปลี่ยนการตั้งค่า BitLocker เป็น TPM + PIN — การกำหนดให้ต้องใส่ PIN เมื่อเปิดเครื่องจะทำให้เอ็กซ์พลอยต์นี้ไม่สามารถทำงานได้ ผู้ดูแลระบบองค์กรควรพิจารณาบังคับใช้ผ่าน Group Policy โดยเร็ว
• เปิดใช้งาน BIOS Password Lock — Kevin Beaumont แนะนำวิธีนี้ แม้ว่าประสิทธิภาพโดยตรงต่อ YellowKey ยังไม่ได้รับการยืนยัน
• วางแผนรับมือกรณีอุปกรณ์สูญหายหรือถูกขโมย — ควรมีขั้นตอน Remote Wipe ที่พร้อมใช้งานทันที และไม่ควรพึ่งพา BitLocker เพียงอย่างเดียวในการปกป้องข้อมูลสำคัญ

ตรวจสอบสถานะ BitLocker ของเครื่องได้ด้วยคำสั่ง manage-bde -status หากผลลัพธ์ไม่แสดงว่ามีการตั้งค่า Startup PIN ก็หมายความว่าอยู่ในโหมด TPM-only ที่มีความเสี่ยง

HP TPM Guard และการโจมตีต่อเนื่องที่บ่งชี้ถึงแนวโน้มใหญ่

YellowKey ไม่ใช่เหตุการณ์โดดเดี่ยว แต่เป็นส่วนหนึ่งของรูปแบบการโจมตีที่เพิ่มขึ้นต่อ BitLocker แบบ TPM-only ก่อนหน้านี้ในเดือนพฤษภาคม 2026 มีการเผยแพร่เอ็กซ์พลอยต์ "BitUnlocker" ที่อาศัย CVE-2025-48804 ซึ่ง Microsoft ออกแพตช์ไปแล้วเมื่อเดือนกรกฎาคม 2025 โดย BitUnlocker ใช้การโจมตีแบบ Secure Boot Downgrade ซึ่งต่างจาก YellowKey ที่ใช้ Transactional NTFS แต่ผลลัพธ์ปลายทางเหมือนกัน คือ TPM ยอมส่งมอบกุญแจให้

ฝั่งผู้ผลิตฮาร์ดแวร์ก็เริ่มตอบสนองต่อแนวโน้มนี้แล้ว HP ประกาศ "HP TPM Guard" ในงาน HP Imagine 2026 เมื่อวันที่ 24 มีนาคม 2026 โดยอ้างว่าเป็นโซลูชันฮาร์ดแวร์รายแรกของโลกที่ป้องกันการโจมตีแบบ Physical TPM Bus Sniffing กำหนดเริ่มให้บริการในเดือนกรกฎาคม 2026 สำหรับ HP G2 Commercial PC บางรุ่น แม้ว่า HP TPM Guard จะไม่ได้ออกแบบมาเพื่อรับมือ YellowKey โดยตรง แต่การเคลื่อนไหวนี้สะท้อนให้เห็นว่าอุตสาหกรรมกำลังยอมรับว่า "การเข้าถึงทางกายภาพ = จบเกม" เป็นสมมติฐานที่ยอมรับไม่ได้อีกต่อไป

สำหรับผู้ใช้และองค์กรในประเทศไทย โดยเฉพาะหน่วยงานที่ต้องปฏิบัติตามมาตรฐาน PDPA หรือดูแลข้อมูลที่มีความอ่อนไหวสูง ควรเร่งทบทวนนโยบายการตั้งค่า BitLocker ทันที เนื่องจากยังไม่มีแพตช์จาก Microsoft และไม่มีการระบุกรอบเวลาที่ชัดเจน การรอแพตช์โดยไม่ปรับการตั้งค่าอาจเป็นความเสี่ยงที่ไม่จำเป็น

แหล่งที่มา

• Ars Technica — Zero-day exploit completely defeats default Windows 11 BitLocker protections
• HP — HP Imagine 2026: HP Leads Security for the Future of Work with Launch of HP TPM Guard
• Windows Forum — BitUnlocker PoC: CVE-2025-48804 and Why TPM-Only BitLocker Still Risks Your Boot Chain