Microsoft BitLocker – YellowKey 제로데이 익스플로잇

• Chaotic Eclipse의 YellowKey는 USB 파일과 Windows 복구 환경만으로 BitLocker 잠금 드라이브 접근을 가능하게 함
• Tom's Hardware 테스트에서 System Volume Information에 FsTx 파일을 복사하고 Shift+Restart 후 Control 키를 누르는 절차가 동작함
• 재부팅 뒤 질문이나 메뉴 없이 상승 권한 명령줄로 진입했고, BitLocker로 잠긴 드라이브에 키 입력 없이 전체 접근 가능했음
• Alice 드라이브를 Bob 기기로 옮겨 여는 방식은 어려워 보이나, 기기 자체를 훔치면 대상 TPM을 그대로 이용할 수 있어 위험이 커짐
• SecurityOnline에 따르면 YellowKey는 Windows Server 2022·2025에서도 동작하지만 Windows 10에서는 동작하지 않음

YellowKey의 공격 절차와 관찰된 동작

• Chaotic Eclipse가 BitLocker로 잠긴 드라이브에 접근할 수 있는 제로데이 YellowKey를 공개함
• Tom's Hardware는 USB 스틱에 일부 파일을 복사한 뒤 Windows Recovery Environment로 재부팅하는 절차가 실제로 동작함을 확인함
• 절차는 System Volume Information에 쓰기 접근을 얻고, 그 안에 FsTx 폴더와 내용을 복사한 뒤 Shift+Restart로 복구 환경에 들어가 Control 키를 계속 누르는 방식임
• 재부팅 후 질문이나 메뉴 없이 상승 권한 명령줄로 진입했고, BitLocker로 잠겨 있던 드라이브에 키 입력 없이 전체 접근 가능했음
• 공격에 사용된 파일은 한 번 사용된 뒤 USB 스틱에서 사라졌고, Tom's Hardware는 이를 백도어처럼 보이는 동작으로 봄

영향 범위와 물리적 탈취 위험

• YellowKey는 BitLocker를 드라이브 암호화 수단으로 신뢰하는 환경에 즉각적인 위험을 만듦
• BitLocker는 가정, 기업, 정부 환경의 수백만 대 기기를 보호하며, 특히 Windows 11에서 기본 활성화돼 있음
• Tom's Hardware가 확인한 범위에서는 Alice 기기의 드라이브를 Bob 기기로 옮겨 여는 방식은 불가능해 보이며, 암호화 키가 Alice 기기의 TPM에 있기 때문임
• 하지만 노트북, 미니 PC, 데스크톱 자체를 훔치면 공격 대상 기기의 TPM을 그대로 이용할 수 있어 물리적 탈취 위험이 커짐
• SecurityOnline 보도에 따르면 YellowKey는 Windows Server 2022와 2025에서도 동작하지만 Windows 10에서는 동작하지 않음

TPM·PIN 구성과 공개 배경

• Eclipse는 전체 TPM-and-PIN 구성을 사용해도 도움이 되지 않는다고 밝힘
• 해당 구성에 대한 변형도 가지고 있지만, 그 개념증명(PoC)은 공개하지 않았다고 함
• Eclipse는 취약점이 잘 숨겨져 있고 판매하면 큰돈을 벌 수도 있었지만, Microsoft에 대한 의지 때문에 공개했다고 밝힘
• Chaotic Eclipse는 지난달에도 Windows Defender가 시스템 관리자 권한을 내주게 만드는 BlueHammer와 RedSun 제로데이를 공개한 바 있음
• 당시 공개는 Microsoft 보안팀이 취약점 제보를 거절했다는 주장 이후 이뤄짐

함께 공개된 GreenPlasma

• Chaotic Eclipse가 함께 공개한 GreenPlasma는 완전한 PoC가 없지만, 로컬 권한 상승으로 시스템 수준 접근을 얻을 수 있다고 밝힘
• GreenPlasma는 CTFMon 프로세스를 조작해 변조된 메모리 섹션 객체를 Windows Object Manager의 특정 섹션에 배치하는 방식임
• 이 섹션은 SYSTEM 사용자가 쓰기 권한을 가진 위치이며, 일반 접근 제어를 우회한다고 함
• 이후 익스플로잇 코드는 접근하면 안 되는 메모리 영역에 접근할 수 있고, 이를 통해 전체 시스템 접근 권한을 얻을 수 있음
• 데스크톱에서는 임의 프로그램이 전체 접근 권한을 얻을 수 있고, 서버에서는 일반 사용자가 서버와 다른 사용자 데이터까지 통제할 수 있어 더 심각함

Microsoft 대응 상태

• 기사 작성 시점 기준 Microsoft는 YellowKey나 GreenPlasma에 대한 공식 입장을 내지 않음
• BlueHammer는 이미 패치됨
• Chaotic Eclipse는 Microsoft가 RedSun을 조용히 패치했다고 주장하지만, 이에 대해서도 공식 입장은 없음