YellowKey (CVE‑2026‑45585): Celah BitLocker yang Bisa Membuka Enkripsi lewat WinRE
YellowKey (CVE‑2026‑45585) adalah kerentanan bypass fitur keamanan BitLocker pada Windows 11 dan Windows Server 2022/2025 yang memanfaatkan Windows Recovery Environment (WinRE). Eksploitasi dilakukan dengan menempatkan file FsTx (Transactional NTFS) khusus pada USB atau partisi EFI sehingga WinRE memprosesnya dan me...
What is the “YellowKey” BitLocker zero‑day vulnerability (CVE‑2026‑45585) that allows attackers with physical access to bypass BitLocker encYellowKey demonstrates how weaknesses in recovery and boot workflows can undermine full‑disk encryption protections.
AI Perintah
Create a landscape editorial hero image for this Studio Global article: What is the “YellowKey” BitLocker zero‑day vulnerability (CVE‑2026‑45585) that allows attackers with physical access to bypass BitLocker enc. Article summary: YellowKey is a publicly disclosed BitLocker security-feature bypass, tracked as CVE-2026-45585, that reportedly lets an attacker use Windows Recovery Environment and crafted FsTx/Transactional NTFS files to reach data on. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "*A stolen Windows 11 laptop and a USB stick are enough to read a BitLocker-encrypted drive using nothing but Microsoft’s own recovery tools, and the researcher is holding back a fo" source context "YellowKey: The Unpatched BitLocker Bypass Hidden in Windows ..." Reference image 2: visual subject "A ze
openai.com
BitLocker dirancang untuk melindungi data bahkan jika laptop atau server jatuh ke tangan yang salah. Namun sebuah kerentanan baru bernama YellowKey (CVE‑2026‑45585) menunjukkan bahwa mekanisme pemulihan sistem juga bisa menjadi titik lemah jika tidak diamankan dengan benar.
Peneliti keamanan menemukan bahwa celah ini memungkinkan penyerang melewati enkripsi BitLocker dengan memanfaatkan Windows Recovery Environment (WinRE) dan file sistem khusus yang dimanipulasi. Microsoft telah mengakui masalah ini dan merilis panduan mitigasi sementara sambil menyiapkan perbaikan permanen.
Apa Itu YellowKey (CVE‑2026‑45585)
YellowKey diklasifikasikan sebagai kerentanan bypass fitur keamanan BitLocker. Kerentanan ini memengaruhi sistem Windows modern, termasuk Windows 11 serta Windows Server 2022 dan 2025.
Kerentanan tersebut memiliki skor CVSS 6,8, yang menandakan tingkat keparahan menengah namun tetap berisiko bagi organisasi yang mengandalkan BitLocker untuk melindungi data sensitif pada perangkat mereka.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Apa jawaban singkat untuk "YellowKey (CVE‑2026‑45585): Celah BitLocker yang Bisa Membuka Enkripsi lewat WinRE"?
YellowKey (CVE‑2026‑45585) adalah kerentanan bypass fitur keamanan BitLocker pada Windows 11 dan Windows Server 2022/2025 yang memanfaatkan Windows Recovery Environment (WinRE).
Apa poin penting yang harus divalidasi terlebih dahulu?
YellowKey (CVE‑2026‑45585) adalah kerentanan bypass fitur keamanan BitLocker pada Windows 11 dan Windows Server 2022/2025 yang memanfaatkan Windows Recovery Environment (WinRE). Eksploitasi dilakukan dengan menempatkan file FsTx (Transactional NTFS) khusus pada USB atau partisi EFI sehingga WinRE memprosesnya dan membuka akses shell ke volume yang dilindungi BitLocker.
Apa yang harus saya lakukan selanjutnya dalam latihan?
Microsoft menyarankan mitigasi sementara seperti menghapus entri autofstx.exe dari BootExecute di WinRE, menggunakan BitLocker dengan TPM+PIN, dan memperketat pengaturan boot sampai patch resmi dirilis.
Tidak seperti banyak serangan siber lainnya, eksploitasi YellowKey memerlukan akses fisik ke perangkat. Penyerang harus bisa me-reboot komputer dan berinteraksi dengan proses boot atau lingkungan pemulihan sistem.
Meski terdengar terbatas, skenario ini cukup realistis dalam praktik — misalnya pada laptop yang dicuri, perangkat kantor yang tidak diawasi, atau sistem di lokasi cabang.
Cara Kerja Eksploit YellowKey
Proof‑of‑concept (PoC) yang dipublikasikan menunjukkan bahwa serangan ini memanfaatkan perilaku tertentu dalam Windows Recovery Environment (WinRE) — komponen bawaan Windows yang digunakan untuk memperbaiki instalasi sistem yang bermasalah.
Secara sederhana, alurnya seperti ini:
Penyerang menyiapkan USB drive atau partisi EFI yang berisi file FsTx (Transactional NTFS) yang telah dimodifikasi secara khusus.
Sistem target kemudian di‑reboot ke WinRE.
Saat WinRE memproses file tersebut sebagai bagian dari rutinitas pemulihan, eksploit dapat memicu perilaku yang menghasilkan akses shell ke penyimpanan sistem.
Karena cara WinRE menangani status filesystem saat pemulihan, volume yang dilindungi BitLocker bisa menjadi dapat diakses dari shell tersebut.
Dalam praktiknya, kondisi ini dapat membuat data yang seharusnya terenkripsi menjadi dapat diakses selama proses recovery berlangsung.
Mengapa Serangan dengan Akses Fisik Tetap Berbahaya
Serangan yang membutuhkan akses fisik sering dianggap kurang serius dibanding serangan jarak jauh. Namun di dunia nyata, situasi ini sering terjadi, misalnya:
laptop hilang atau dicuri
perangkat disita sementara saat perjalanan
workstation yang ditinggalkan tanpa pengawasan
sistem di kantor cabang atau kios
Risiko menjadi lebih besar jika organisasi menggunakan BitLocker dengan metode unlock TPM saja. Dalam konfigurasi ini, disk dapat terbuka otomatis saat boot tanpa memerlukan input dari pengguna.
Mitigasi yang Direkomendasikan Microsoft
Saat kerentanan ini dipublikasikan, Microsoft belum merilis patch penuh. Sebagai gantinya, perusahaan menyediakan beberapa langkah mitigasi sementara bagi administrator sistem.
1. Hapus entri autofstx.exe dari BootExecute
Administrator disarankan untuk menghapus entri autofstx.exe dari nilai registry BootExecute pada image WinRE. Langkah ini menghentikan mekanisme replay Transactional NTFS yang digunakan oleh eksploit.
2. Gunakan BitLocker dengan TPM + PIN
Microsoft juga merekomendasikan penggunaan autentikasi TPM + PIN untuk BitLocker, bukan TPM saja. Dengan metode ini, pengguna harus memasukkan PIN sebelum sistem boot sehingga penyerang dengan akses fisik tidak bisa langsung membuka disk.
3. Perketat pengaturan boot dan recovery
Sebagai langkah keamanan tambahan, organisasi juga disarankan untuk:
menonaktifkan atau membatasi boot dari USB atau media eksternal
melindungi UEFI/BIOS dengan password administrator yang kuat
memastikan Secure Boot tetap aktif
memantau perubahan pada WinRE atau konfigurasi boot
Langkah‑langkah ini membantu mencegah penyerang mencapai lingkungan pemulihan yang diperlukan untuk menjalankan eksploit.
Peneliti di Balik YellowKey
Kerentanan ini diungkap oleh peneliti keamanan yang menggunakan alias Chaotic Eclipse atau Nightmare‑Eclipse, yang juga merilis kode proof‑of‑concept yang menjelaskan teknik eksploitasi tersebut.
Pengungkapan ini merupakan bagian dari rangkaian laporan kerentanan Windows dari peneliti yang sama, termasuk beberapa zero‑day lain yang menargetkan komponen Microsoft.
Banyak pakar keamanan menekankan bahwa ketika kode PoC dipublikasikan, risiko eksploitasi biasanya meningkat karena lebih banyak pihak dapat mempelajari dan mereplikasi teknik tersebut sebelum vendor merilis patch resmi.
Hal yang Perlu Dipantau Tim Keamanan
Sampai patch resmi tersedia, tim keamanan TI sebaiknya memonitor tanda‑tanda yang dapat menunjukkan upaya eksploitasi, seperti:
sistem yang tiba‑tiba boot ke Windows Recovery Environment
perubahan pada image WinRE atau nilai BootExecute
modifikasi pada boot order, partisi EFI, atau konfigurasi Secure Boot
percobaan boot dari USB yang tidak sah
perubahan tak terduga pada pengaturan BitLocker atau TPM
Pemantauan indikator‑indikator ini dapat membantu mendeteksi upaya manipulasi pada proses boot atau recovery yang terkait dengan serangan YellowKey.
Pelajaran Penting tentang Enkripsi Disk
Kasus YellowKey menegaskan satu prinsip penting dalam keamanan sistem: enkripsi disk penuh tidak cukup jika rantai boot dan recovery dapat dimanipulasi.
Boot loader, firmware, dan lingkungan pemulihan merupakan bagian dari trust chain yang sama dengan mekanisme enkripsi. Jika salah satu komponen tersebut memiliki kelemahan, perlindungan yang diberikan oleh enkripsi dapat ikut terpengaruh.
Bagi organisasi yang menggunakan BitLocker, kombinasi enkripsi, autentikasi pra‑boot, perlindungan firmware, serta kontrol boot yang ketat tetap menjadi praktik terbaik sampai Microsoft merilis perbaikan penuh untuk CVE‑2026‑45585.
bleepingcomputer.comMicrosoft shares mitigation for YellowKey Windows zero-day
Comments
0 comments