윈도우 11 BitLocker 제로데이 취약점 발견
원제: Zero-day exploit completely defeats default Windows 11 BitLocker protections
왜 중요한가
정부 계약 기업 등이 의무적으로 사용하는 BitLocker 우회로 기업 보안에 심각한 위협
연구자가 윈도우 11의 기본 BitLocker 암호화 보호를 완전히 우회하는 제로데이 익스플로잇 'YellowKey'를 공개했다. 물리적 접근 권한이 있으면 몇 초 만에 암호화된 드라이브에 완전 접근이 가능하다고 밝혔다.
'Nightmare-Eclipse'라는 별명의 연구자가 이번 주 초 공개한 YellowKey 익스플로잇은 윈도우 11 시스템에 물리적으로 접근할 수 있는 사람이 기본 BitLocker 보호를 우회하고 암호화된 드라이브에 완전히 접근할 수 있게 한다. BitLocker는 마이크로소프트가 제공하는 전체 볼륨 암호화 보호 기능으로, TPM(신뢰할 수 있는 플랫폼 모듈)에 저장된 복호화 키 없이는 디스크 콘텐츠에 접근할 수 없도록 한다.
익스플로잇 실행 단계는 간단하다. 커스텀 제작된 FsTx 폴더를 USB 드라이브에 복사하고, BitLocker로 보호된 기기에 연결한 후, 기기를 부팅하면서 즉시 Ctrl 키를 누르고 윈도우 복구 모드로 진입하면 된다. 정상적인 윈도우 복구 과정에서는 BitLocker 복구 키 입력이 필요하지만, YellowKey 익스플로잇은 이 보안 장치를 우회한다.
보안 연구자 Kevin Beaumont와 Will Dormann 등 여러 연구자들이 이 익스플로잇의 작동을 확인했다. Dormann은 이 취약점이 트랜잭셔널 NTFS와 관련이 있으며, 윈도우 복구 시 실행되는 프로세스를 제어하는 winpeshl.ini 파일과 연결되어 있다고 분석했다. 마이크로소프트는 현재 이 문제를 조사 중이라고 밝혔다.