Microsoft BitLocker – Eksploit zero-day YellowKey

 (tomshardware.com)
1 poin oleh GN⁺ 1 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • YellowKey dari Chaotic Eclipse memungkinkan akses ke drive yang dikunci BitLocker hanya dengan file di USB dan Windows Recovery Environment
  • Dalam pengujian Tom's Hardware, prosedur menyalin file FsTx ke System Volume Information lalu menekan Shift+Restart dan menahan tombol Control terbukti berfungsi
  • Setelah reboot, sistem masuk ke command line dengan hak istimewa yang ditingkatkan tanpa pertanyaan atau menu, dan memberikan akses penuh ke drive yang terkunci BitLocker tanpa input kunci apa pun
  • Metode memindahkan drive Alice ke perangkat Bob lalu membukanya tampak sulit, tetapi jika perangkatnya sendiri dicuri, TPM target tetap bisa dimanfaatkan sehingga risikonya lebih besar
  • Menurut SecurityOnline, YellowKey juga berfungsi di Windows Server 2022·2025 tetapi tidak berfungsi di Windows 10

Prosedur serangan YellowKey dan perilaku yang diamati

  • Chaotic Eclipse mempublikasikan YellowKey, zero-day yang dapat mengakses drive yang dikunci BitLocker
  • Tom's Hardware memverifikasi bahwa prosedur menyalin beberapa file ke USB stick lalu reboot ke Windows Recovery Environment benar-benar berfungsi
  • Prosedurnya adalah mendapatkan akses tulis ke System Volume Information, menyalin folder FsTx beserta isinya ke dalamnya, lalu masuk ke lingkungan pemulihan dengan Shift+Restart sambil terus menahan tombol Control
  • Setelah reboot, sistem masuk ke command line dengan hak istimewa yang ditingkatkan tanpa pertanyaan atau menu, dan memungkinkan akses penuh ke drive yang sebelumnya terkunci BitLocker tanpa input kunci apa pun
  • File yang digunakan dalam serangan menghilang dari USB stick setelah sekali dipakai, dan Tom's Hardware menilai ini sebagai perilaku yang tampak seperti backdoor

Cakupan dampak dan risiko pencurian fisik

  • YellowKey menimbulkan risiko langsung bagi lingkungan yang mempercayai BitLocker sebagai sarana enkripsi drive
  • BitLocker melindungi jutaan perangkat di lingkungan rumah, perusahaan, dan pemerintahan, dan terutama aktif secara default di Windows 11
  • Dalam cakupan yang diverifikasi Tom's Hardware, metode memindahkan drive dari perangkat Alice ke perangkat Bob lalu membukanya tampaknya tidak memungkinkan, karena kunci enkripsinya berada di TPM perangkat Alice
  • Namun, jika laptop, mini PC, atau desktop itu sendiri dicuri, TPM perangkat target bisa dimanfaatkan apa adanya, sehingga risiko pencurian fisik menjadi lebih besar
  • Menurut laporan SecurityOnline, YellowKey juga berfungsi pada Windows Server 2022 dan 2025 tetapi tidak berfungsi pada Windows 10

Konfigurasi TPM·PIN dan latar belakang pengungkapan

  • Eclipse menyatakan bahwa bahkan penggunaan konfigurasi penuh TPM-and-PIN pun tidak membantu
  • Disebutkan bahwa mereka juga memiliki varian untuk konfigurasi tersebut, tetapi proof of concept (PoC)-nya tidak dipublikasikan
  • Eclipse mengatakan bahwa kerentanan ini tersembunyi dengan sangat baik dan bisa menghasilkan banyak uang jika dijual, tetapi dipublikasikan karena sikap mereka terhadap Microsoft
  • Bulan lalu, Chaotic Eclipse juga mempublikasikan zero-day BlueHammer dan RedSun yang membuat Windows Defender memberikan hak administrator sistem
  • Pengungkapan saat itu dilakukan setelah klaim bahwa tim keamanan Microsoft menolak laporan kerentanan tersebut

GreenPlasma yang diumumkan bersama

  • GreenPlasma yang juga diumumkan Chaotic Eclipse tidak memiliki PoC lengkap, tetapi diklaim dapat memperoleh akses tingkat sistem melalui eskalasi hak istimewa lokal
  • GreenPlasma bekerja dengan memanipulasi proses CTFMon untuk menempatkan objek section memori yang telah dimodifikasi ke section tertentu di Windows Object Manager
  • Section ini berada di lokasi yang memiliki izin tulis untuk pengguna SYSTEM, dan diklaim dapat melewati kontrol akses biasa
  • Setelah itu, kode eksploit dapat mengakses area memori yang seharusnya tidak boleh diakses, dan melalui ini memperoleh hak akses penuh ke sistem
  • Di desktop, program arbitrer dapat memperoleh hak akses penuh, dan di server dampaknya lebih serius karena pengguna biasa bisa mengendalikan server serta data pengguna lain

Status respons Microsoft

  • Hingga saat artikel ditulis, Microsoft belum mengeluarkan pernyataan resmi tentang YellowKey maupun GreenPlasma
  • BlueHammer sudah ditambal
  • Chaotic Eclipse mengklaim Microsoft telah diam-diam menambal RedSun, tetapi untuk hal itu juga belum ada pernyataan resmi

Bacaan terkait

1 komentar

 
GN⁺ 1 jam lalu
Komentar Hacker News

  • Sumber asli ada di https://deadeclipse666.blogspot.com/2026/05/two-more-public-...
    Tautan lain: https://github.com/Nightmare-Eclipse/YellowKey, https://github.com/Nightmare-Eclipse/GreenPlasma

  • Kerentanan BitLocker ini terlihat sederhana tetapi sangat berbahaya
    Perusahaan dan individu selama ini mengandalkan BitLocker untuk melindungi informasi saat perangkat hilang, tetapi Microsoft tampaknya tidak menanggapi keamanan dengan serius, bertentangan dengan janjinya
    Apa yang diperlukan agar lebih banyak perusahaan benar-benar memahami risiko ketergantungan pada Windows dan platform Microsoft?

    • Sejak dulu Microsoft memang tidak terlihat menangani BitLocker dengan serius
      Pada era Windows 7, jika memasukkan CD instalasi Windows dan menekan kombinasi tombol seperti Shift+F7, kita bisa mendapatkan command prompt sistem dengan drive dalam keadaan terbuka
      Jika mereka mengatakan installer harus bisa membuka BitLocker, mestinya langsung terpikir “kalau begitu seluruh installer harus seaman layar login”, tetapi tampaknya tidak begitu
    • Soal RedSun dan Bluehammer, perlu dilihat bahwa Microsoft diam-diam menambalnya tanpa merespons CVE dan tanpa memberi pengakuan kepada peneliti
      Ini adalah hasil dari Microsoft yang terus memakai praktik keamanan buruk dan berusaha lolos begitu saja
      Peneliti itu mengklaim sudah menyiapkan versi lain yang bisa melewati TPM+PIN dengan backdoor serupa, dan itu menurutku cukup kredibel
      Menemukan 5 zero-day ring 0 dalam 3 bulan oleh orang yang sama terlalu tidak mungkin secara statistik, dan orang ini tampaknya benar-benar sangat mahir dalam exploit, setingkat Juan Sacco
    • Sebagian besar distro Linux juga bahkan tidak mengaktifkan enkripsi penuh disk secara default, dan kalau pun aktif, sering memakai auto-unlock yang disegel ke TPM PCR dengan cara yang persis sama seperti BitLocker
      Dalam kasus itu, kalau setelah boot dari image OS yang ditandatangani ada bypass autentikasi atau ada cara melihat keadaan memori sistem, isi disk juga bisa didapatkan, jadi kerentanannya sama
      Ini adalah kompromi arsitektural yang bisa dipilih di platform mana pun dan tidak terkait dengan “ketergantungan”
      Mengonfigurasi enkripsi disk BitLocker agar lebih aman itu mudah, tetapi biasanya tidak dilakukan karena menambah beban besar bagi administrator
      Menurutku Apple punya default FileVault yang lebih baik. Mengaktifkan FileVault lebih mirip membungkus kunci yang sudah terikat ke UID perangkat keras dengan kata sandi pengguna juga
      Namun strategi itu bisa menimbulkan masalah besar untuk rotasi kata sandi jarak jauh atau autentikasi terdelegasi seperti Active Directory, jadi mungkin itulah alasan Microsoft tidak memilihnya sebagai default
    • Aku tidak paham bagaimana satu bug langsung berarti “tidak menanggapi keamanan dengan serius”
    • Kalau melihat paragraf ketiga di artikelnya, memang terdengar seperti backdoor yang sengaja ditanam

  • Crikey, berita besar soal backdoor ini tampaknya cukup tenggelam
    Ini semua terlihat seperti exploit yang sebagian besar, kalau bukan semuanya, sudah jadi dan nilainya sangat tinggi
    Nilai pasarnya pasti astronomis, dan paling cocok untuk lembaga penegak hukum yang memakai perusahaan jasa pembukaan kunci
    Jadi aku sangat menghargai pengungkapan publiknya

  • Pada dasarnya BitLocker tidak terlalu berguna kalau perangkat kerasnya sendiri tidak aman
    Ada banyak implementasi Boot Guard yang mem-fuse sertifikat ke perangkat keras agar OEM bisa membuat firmware yang hanya bisa di-boot oleh mereka, tetapi sudah ada setidaknya 2 kasus kebocoran sertifikat seperti ini yang membuat semua perangkat keras dengan tanda tangan tersebut terekspos, dan ada juga cara bypass lain
    Sebagian Boot Guard hanyalah “flash guard” yang membatasi agar hanya firmware bertanda tangan yang bisa di-flash, jadi tidak mencegah penulisan langsung ke chip SPI BIOS
    Pernah ada orang yang mendemonstrasikan patch pada modul SMM firmware sambil mempertahankan nilai PCR sehingga BitLocker sama sekali tidak terpicu
    Artinya, kalau seseorang bisa membongkar laptop atau desktop dan punya sekitar 2 menit untuk mem-flash firmware, dia bisa menulis BIOS dari luar yang berisi modul SMM tersebut
    Ini paling fatal saat tidak ada autentikasi PIN; cukup mencuri laptopnya lalu data bisa diambil
    Jika ada PIN, setelah pengguna menyalakan perangkat, penyerang bisa menjatuhkan payload yang mengekfiltrasi data lewat jaringan, atau menulis ulang kunci dekripsi ke partisi tak terenkripsi, atau merusak sebagian sektor di ujung disk lalu menulisnya di sana, kemudian mencurinya lagi
    Dengan memodifikasi SMM, proses boot juga bisa ditambal untuk memuat payload berbahaya ke hypervisor atau kernel

    • Itu hanya tidak berguna jika kita mengasumsikan penyerang yang benar-benar sangat kompeten
      Tidak semua penyerang adalah aktor setingkat negara, dan di dunia nyata ada juga penyerang yang cukup amatir
      Menurutku anggapan bahwa kalau tidak bisa menghentikan penyerang terkuat maka semuanya tidak berguna jadi tak perlu dipedulikan, itu tidak membantu
      Aku tahu kunci sepeda pun bisa dipotong dalam hitungan detik oleh orang yang cukup terampil dan gigih, tetapi aku tetap akan mengunci sepedaku
    • Dalam premis “kalau perangkat kerasnya tidak aman”, sebagian besar enkripsi disk hardware yang dijalankan di controller HDD/SSD itu 100 kali lebih kacau daripada BitLocker sendiri
      Penuh bug dan celah keamanan, dan memakainya itu tidak masuk akal

  • https://infosec.exchange/@wdormann/116565129854382214

    • Di sana tertulis mitigasinya adalah memakai BitLocker bersama PIN
      Namun penulis YellowKey mengatakan dia tidak setuju bahwa PIN adalah perlindungan yang memadai

  • Mengejutkan. Apakah Microsoft akan terkena pukulan reputasi besar karena backdoor ini, atau tidak akan terjadi apa-apa karena mereka terlalu penting bagi sebagian besar organisasi?

    • Sepertinya UE akan mendorong de-coupling lebih cepat karena hal-hal seperti ini
    • Menurutku siapa pun yang sudah memperhatikan setidaknya selama 20 tahun sudah lama berasumsi bahwa produk Microsoft memang punya backdoor di mana-mana
      Cukup melihat dokumen asli bocoran Snowden; kalau sebelumnya belum jelas, sesudah itu mestinya sudah sangat jelas
      Perusahaan tetap memakai Microsoft karena mereka menganggap sekalipun ada backdoor, itu tidak relevan dan tidak akan berdampak pada mereka
      Mereka bukan teroris atau pelaku pornografi anak, dan menganggap dengan atau tanpa backdoor di BitLocker mereka tetap akan mematuhi surat perintah
      Individu yang peduli keamanan dan privasi menyimpan datanya di suatu drive VeraCrypt
    • Tampaknya tidak ada bukti konkret bahwa ini benar-benar “backdoor” yang disengaja
    • Ini bukan backdoor sungguhan
      Yang ditemukan adalah cara mengeksploitasi Windows setelah penyerang boot ke mode pemulihan
      Keamanan file perangkat bergantung pada fakta bahwa sebelum pengguna membuka kunci, penyerang tidak boleh bisa mengambil alih Windows dari permukaan mana pun yang terekspos
      Itulah sebabnya OS seperti GrapheneOS menonaktifkan port USB saat boot awal untuk mengurangi permukaan serangan yang bisa diakses penyerang
    • Tidak ada orang yang memakai Windows demi privasi, jadi kurasa tidak ada yang akan peduli

  • Aku kurang yakin apakah menyalin kunci setelah sistem terbuka bisa dianggap sebagai backdoor
    Kalau sistem operasi berjanji akan mengunci akses ke kunci itu lalu gagal, aku paham logika orang yang menyebutnya backdoor
    Namun itu berbeda dengan adanya bypass kunci atau pre-shared key, dan artikelnya terasa memberi nuansa seperti itu
    Untungnya aku tidak memakai Windows

    • Benar. Ini adalah bypass autentikasi Windows yang bekerja saat BitLocker aktif
      Pada BitLocker yang hanya memakai TPM, semua bypass autentikasi pasca-boot atau teknik pengambilan isi memori memang rentan, dan kasus ini secara khusus adalah teknik bypass autentikasi yang bodoh dan aneh yang dibesar-besarkan oleh penulis dan media
      Semua sistem operasi yang membuka enkripsi disk hanya berdasarkan identitas perangkat keras rentan terhadap jenis serangan yang sama
      Ada juga banyak cara untuk salah mengonfigurasi atau mengeksploitasi setup enkripsi penuh disk Linux agar masuk ke recovery shell
      Meski begitu, ini tetap jauh lebih baik daripada “tanpa perlindungan disk” dan terutama melindungi semua skenario ketika disk dilepas dari perangkat keras
      Hanya saja, permukaan serangan setelah boot sangat besar, dan untuk menghadapi penyerang serius, lapisan perlindungan ini tidak boleh dianggap lebih dari sekadar speed bump

  • Aku melihat di Reddit ada yang bertanya apakah versi WinRE rentan yang sudah diketahui masih bisa ditulis ke drive ini atau drive lain meskipun sudah ditambal
    Aku kurang paham BitLocker atau TPM, jadi apakah keduanya juga mencegah hal semacam itu?

  • Aku tidak mengerti kenapa di setiap thread seperti ini ada begitu banyak balasan yang mencoba mengecilkan masalah
    Aneh juga kenapa kebanyakan datang dari akun baru
    Aku terus melihat variasi seperti “ini bukan exploit BitLocker melainkan bug autentikasi/eskalasi hak akses”, “penyerang memang secara eksplisit memperingatkan bahwa TPM+PIN bisa dibypass, tetapi sebenarnya tidak demikian atau bukan itu maksudnya”, “jangan terburu-buru menyimpulkan ini backdoor”, dan “kita sudah tahu BitLocker yang hanya memakai TPM memang tidak aman”
    Yang terakhir terasa sangat aneh mengingat banyak organisasi memang dibuat bergantung padanya

    • Sistem-sistem ini memang dikonfigurasi untuk dekripsi otomatis
      Kalau seseorang berhasil menyerang Windows di antara proses membuka kunci dan login pengguna, tentu saja file-file itu bisa diakses
      Jika ini memang serangan seperti itu, maka ini bukan cacat pada BitLocker itu sendiri
      Permintaan “coba tunjukkan” terhadap klaim bypass TPM+PIN juga bukan hal yang tidak wajar
      Benar juga bahwa jangan terlalu cepat menyimpulkan ini sebagai backdoor
      Dan BitLocker yang hanya memakai TPM lebih tepat disebut bukan “diketahui tidak aman”, melainkan punya permukaan serangan yang sangat besar
    • Balasan seperti itu biasanya memang muncul di postingan yang mengkritik perusahaan teknologi besar
      Di sini itu hal yang biasa, dan tampaknya tidak ada cara untuk menghentikan balasan yang terlihat 100% asli, jadi sebaiknya dilewati saja

  • Ini terlihat terlalu mirip backdoor yang disengaja, jadi peristiwa tahun 2014 saat TrueCrypt tiba-tiba menyuruh semua orang beralih ke BitLocker terasa makin mencurigakan
    Backdoor spesifik ini mungkin belum ada saat itu, apalagi tampaknya khusus Windows 11, tetapi kemungkinan adanya backdoor lain jadi terasa lebih masuk akal
    Namun kalau TrueCrypt dimatikan agar orang pindah ke enkripsi yang bisa dibackdoor, tetap muncul pertanyaan kenapa penerusnya, VeraCrypt, dibiarkan ada
    VeraCrypt bersifat open source dan telah diaudit secara independen, jadi seharusnya tidak ada backdoor