이제 USB 스틱에 있는 일부 파일만으로 Microsoft BitLocker로 보호되는 드라이브를 열 수 있습니다. YellowKey 제로데이 익스플로잇은 명백한 백도어를 보여줍니다.

드라이버를 들고 있는 지루한 엔지니어보다 더 위험한 것은 없으며 보안 연구원이 경멸하는 것만큼 분노한 것도 없습니다.지난 달 보안 연구원인 Chaotic Eclipse(일명 Nightmare-Eclipse)는 Windows Defender가 시스템 관리자 권한을 제공하도록 만든 두 가지 제로데이 공격인 BlueHammer와 RedSun을 발표했습니다.그들은 공개 보고서가 Microsoft 보안 팀에 의해 기각되어 일종의 보복을 초래한 후에 이 작업을 수행했습니다.Eclipse는 이제 두 가지 새로운 제로데이 익스플로잇을 게시하면서 다시 한 번 해냈습니다. 첫 번째는 잠긴 드라이브에 대한 전체 액세스 권한을 부여하는 Yellow Key라는 매우 심각한 BitLocker 익스플로잇입니다.두 번째인 GreenPlasma는 완전한 개념 증명(PoC)을 갖고 있지 않지만 로컬 권한 상승을 수행하고 시스템 수준 액세스 권한을 얻는 것으로 알려졌습니다.Eclipse의 실적을 고려하면 광고된 대로 작동할 가능성이 높습니다.

YellowKey는 일부 파일을 USB 스틱에 복사하고 Windows 복구 환경으로 재부팅하기만 하면 트리거될 수 있습니다.우리는 이것을 직접 테스트했고, 확실히 작동할 뿐만 아니라, 한 번 사용하면 USB 스틱에서 익스플로잇 파일이 사라지는 등 백도어의 모든 특징을 지니고 있습니다.

프로세스는 매우 간단합니다. USB 스틱을 잡고 "시스템 볼륨 정보"에 대한 쓰기 액세스 권한을 얻은 다음 "FsTx" 폴더와 해당 내용을 복사합니다.Shift 키를 누른 채 다시 시작을 클릭하여 Windows를 복구 환경으로 전환한 다음 Control 키를 누른 상태로 전환하고 놓지 마십시오.머신이 재부팅되고 질문을 하거나 메뉴를 표시하지 않고 키를 묻지 않고 이전 Bitlocked 드라이브에 대한 전체 액세스 권한이 있는 관리자 권한 명령줄로 이동합니다.

이것이 위험하다고 말하는 것은 절제된 표현입니다.드라이브 암호화에 대해 BitLocker를 신뢰할 수 없기 때문에 이는 즉각적인 문제일 뿐만 아니라 익스플로잇이 실행되고 해당 파일이 사라지는 방식도 매우 불편한 기업 및/또는 정치적 문제를 제기합니다.YellowKey는 Windows Server 2022 및 2025에서도 작동하지만 Windows 10에서는 작동하지 않는 것으로 알려졌습니다.

BitLocker는 특히 Windows 11에서 기본적으로 활성화되어 있으므로 전 세계적으로 가정, 기업 및 정부에서 수백만 대의 컴퓨터를 보호합니다.우리가 알 수 있는 한, 암호화 키가 Alice의 TPM에 있기 때문에 Alice 시스템에서 드라이브를 가져와 Bob 시스템에서 열 수는 없지만 랩톱, 미니 PC 또는 데스크톱을 훔치는 것은 어렵지 않습니다.

Eclipse는 전체 TPM 및 PIN 설정을 사용하는 것이 도움이 되지 않는다고 지적합니다. 분명히 PoC를 게시하지 않은 해당 시나리오에 대한 변형이 있기 때문입니다.그들은 또한 취약점이 잘 숨겨져 있으며 "이것을 팔아서 엄청난 돈을 벌 수 있었지만 Microsoft에 대한 나의 결정과 저를 가로막는 금액은 없을 것입니다"라고 말했습니다.