온라인으로 유포되는 제로데이 익스플로잇을 통해 Windows 11 시스템에 물리적으로 액세스할 수 있는 사람들은 기본 BitLocker 보호를 우회하고 몇 초 내에 암호화된 드라이브에 대한 완전한 액세스 권한을 얻을 수 있습니다.
YellowKey라는 익스플로잇은 다음과 같습니다. 출판됨 이번 주 초에는 Nightmare-Eclipse라는 별칭을 사용하는 연구원이 작성했습니다. Microsoft가 제공하는 전체 볼륨 암호화 보호 기능인 BitLocker의 기본 Windows 11 배포를 안정적으로 우회하여 TPM(신뢰할 수 있는 플랫폼 모듈)이라는 보안 하드웨어에 저장된 암호 해독 키 없이는 누구나 디스크 콘텐츠를 액세스할 수 없도록 합니다. BitLocker는 정부와 계약을 맺은 조직을 포함하여 많은 조직에 대한 필수 보호입니다.
한 디스크 볼륨이 다른 디스크 볼륨을 조작하는 경우
YellowKey 익스플로잇의 핵심은 맞춤형 FsTx 폴더입니다. 이 폴더에 대한 온라인 문서를 찾기가 어렵습니다. 나중에 설명하겠지만, fstx.dll 파일과 관련된 디렉터리에는 Microsoft에서 트랜잭션 NTFS이를 통해 개발자는 단일 파일, 여러 파일 또는 여러 소스에 걸쳐 있는 트랜잭션의 파일 작업에 대해 “트랜잭션 원자성”을 가질 수 있습니다.
우회를 수행하는 단계는 간단합니다.
- Nightmare-Eclipse 익스플로잇 페이지의 사용자 정의 FsTx 폴더를 NTFS 또는 FAT 형식의 USB 드라이브로 복사합니다.
- BitLocker로 보호되는 장치에 USB 드라이브를 연결하세요.
- 장치를 부팅하고 즉시 버튼을 길게 누르세요. [Ctrl] 열쇠
- Windows 복구 시작
세 번째 단계를 수행하는 데는 최소한 두 가지 방법이 있습니다. 한 가지 방법은 Windows로 부팅하고 [Shift] 키를 누르고 전원 아이콘을 클릭한 후 다시 시작을 클릭하세요. 또 다른 방법은 Windows가 부팅을 시작하자마자 장치의 전원을 켜고 다시 시작하는 것입니다.
두 경우 모두 명령(CMD.EXE) 프롬프트가 나타납니다. 프롬프트는 전체 드라이브 콘텐츠에 대한 전체 액세스 권한을 가지므로 공격자가 이를 복사, 수정 또는 삭제할 수 있습니다. 일반적인 Windows 복구 흐름에서 공격자는 BitLocker 복구 키를 입력해야 합니다. 어쨌든 YellowKey 익스플로잇은 이 보호 장치를 우회합니다. 등 다수의 연구자 케빈 보몬트 그리고 윌 도만여기에 설명된 대로 익스플로잇이 작동함을 확인했습니다.
사용자 정의 FsTx 폴더의 무엇이 우회를 유발하는지 확실하지 않습니다. Dormann은 자체적으로 사용하는 Transactional NTFS와 관련이 있는 것으로 보인다고 말했습니다. 명령 로그 파일 시스템 후드 아래. Dormann은 Windows fstx.dll을 살펴보면 FsTxFindSessions() 함수에서 \System Volume Information\FsTx를 명시적으로 찾는 코드를 볼 수 있다고 덧붙였습니다.”
