Microsoft telah membagikan mitigasi untuk YellowKey, kerentanan zero-day Windows BitLocker yang baru-baru ini diungkapkan yang memberikan akses ke drive yang dilindungi.
Kelemahan keamanan diungkapkan minggu lalu oleh peneliti keamanan anonim yang dikenal sebagai ‘Nightmare Eclipse’, yang menggambarkannya sebagai pintu belakang dan menerbitkan eksploitasi proof-of-concept (PoC).
Nightmare Eclipse mengatakan bahwa mengeksploitasi zero-day ini melibatkan penempatan file ‘FsTx’ yang dibuat khusus pada drive USB atau partisi EFI, melakukan boot ulang ke WinRE, dan kemudian memicu shell dengan akses tidak terbatas ke volume penyimpanan yang dilindungi BitLocker dengan menahan tombol CTRL.
Bulan lalu, mereka juga mengungkapkannya Palu Biru (CVE-2026-33825) dan Matahari Merah (tanpa pengidentifikasi) kelemahan zero-day eskalasi hak istimewa lokal (LPE), keduanya sekarang dieksploitasi dalam serangan.
Peneliti pun membocorkannya Plasma Hijaumasalah keamanan eskalasi hak istimewa zero-day yang dapat disalahgunakan oleh penyerang untuk mendapatkan shell SISTEM, dan Batalkan pertahanansatu lagi zero-day yang dapat dieksploitasi oleh penyerang dengan izin pengguna standar untuk memblokir pembaruan definisi Pertahanan Microsoft.
Meskipun keadaan sebenarnya yang memicu kebocoran eksploitasi ini masih belum jelas, Nightmare Eclipse sebelumnya mengatakan bahwa pengungkapan ini merupakan protes terhadap cara Microsoft Security Response Center (MSRC) menangani proses pengungkapan kelemahan keamanan lain yang mereka laporkan di masa lalu.
Microsoft membagikan mitigasi YellowKey
Pada hari Selasa, Microsoft mengatakan pihaknya sekarang melacak kelemahan YellowKey di bawah CVE-2026-45585 dan membagikan langkah-langkah mitigasi untuk mempertahankan diri dari potensi serangan yang mengeksploitasinya di alam liar.
“Microsoft menyadari adanya kerentanan bypass fitur keamanan di Windows yang secara publik disebut sebagai “YellowKey”. Bukti konsep kerentanan ini telah dipublikasikan dan melanggar praktik terbaik kerentanan terkoordinasi,” Microsoft kata dalam penasehat hari Selasa.
“Kami menerbitkan CVE ini untuk memberikan panduan mitigasi yang dapat diterapkan untuk melindungi terhadap kerentanan ini hingga pembaruan keamanan tersedia.”
Untuk memitigasi serangan YellowKey, Microsoft merekomendasikan untuk menghapus entri autofstx.exe dari nilai BootExecute REG_MULTI_SZ Manajer Sesi, lalu membangun kembali kepercayaan BitLocker untuk WinRE dengan mengikuti prosedur yang dirinci di bawah “Mitigasi” di bagian Penasihat CVE-2026-33825.
“Secara khusus, Anda mencegah FsTx Auto Recovery Utility, autofstx.exe, dimulai secara otomatis ketika image WinRE diluncurkan,” Will Dormann, analis kerentanan utama di Tharros, menjelaskan. “Dengan perubahan ini, pemutaran ulang NTFS Transaksional yang menghapus winpeshl.ini tidak lagi terjadi.”
Microsoft juga menyarankan pelanggan untuk mengonfigurasi BitLocker pada perangkat yang sudah dienkripsi dari mode “TPM-only” ke mode “TPM+PIN” melalui PowerShell, baris perintah, atau panel kontrol, yang memerlukan PIN pra-boot untuk mendekripsi drive saat startup dan harus memblokir serangan YellowKey.
Pada perangkat yang belum dienkripsi, admin dapat mengaktifkan opsi “Memerlukan otentikasi tambahan saat startup” melalui Microsoft Intune atau Kebijakan Grup, sambil memastikan bahwa “Konfigurasi PIN startup TPM” diatur ke “Memerlukan PIN startup dengan TPM.”
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
