Microsoft BitLocker 보호 드라이브, USB에 파일 몇 개만 있으면 열 수 있어 — YellowKey 제로데이, 백도어 의심

출처: Tom’s Hardware

이미지 출처: Getty Images

배경

지난달, 보안 연구원 Chaotic Eclipse(별명 Nightmare‑Eclipse)는 Microsoft 보안팀이 공개 보고서를 무시했다고 주장하며 두 개의 제로데이 익스플로잇 BlueHammer와 RedSun을 공개했습니다. 연구원은 이제 두 개의 추가 제로데이, 즉 매우 심각한 BitLocker 익스플로잇 YellowKey와 로컬 권한 상승 익스플로잇 GreenPlasma를 주장하고 있습니다.

YellowKey 익스플로잇

YellowKey는 USB 스틱에 몇 개의 파일을 복사하고 Windows 복구 환경(WinRE)으로 부팅하면 트리거됩니다. 이 익스플로잇은 BitLocker로 보호된 드라이브에 대한 완전한 접근 권한을 부여합니다. 한 번 사용된 후에는 익스플로잇 파일이 USB 스틱에서 사라져 백도어처럼 보이게 됩니다.

보세요, 열쇠가 없어요! (이미지 출처: Future)

핵심 포인트:

• Windows Server 2022 및 2025에서는 동작하지만 Windows 10에서는 동작하지 않음.
• 전체 TPM‑및‑PIN 구성을 우회한다고 보고되었으나, 해당 시나리오에 대한 PoC는 아직 공개되지 않음.
• 취약점은 은밀하게 숨겨져 있다고 설명되며, 연구원은 이를 판매할 수 있었지만 선택하지 않았다고 주장함.

GreenPlasma 익스플로잇

GreenPlasma는 아직 완전한 증명 개념이 없지만, CTFMon 프로세스를 조작하여 로컬 권한 상승을 달성한다는 주장이 있습니다. 이 익스플로잇은 SYSTEM 사용자에 의해 쓰기 가능한 Windows 객체 관리자 섹션에 조작된 메모리 섹션 객체를 배치해 일반적인 접근 제어를 우회합니다. 이를 통해 공격자는 관리자 권한을 넘어서는 시스템 수준 전체 접근 권한을 얻을 수 있습니다.

영향

• BitLocker 신뢰성: 이 익스플로잇은 전 세계 수백만 대의 가정용, 기업용, 정부 시스템에서 드라이브를 보호하는 BitLocker에 대한 신뢰를 무너뜨립니다.
• 물리적 도난 위협: TPM에 바인딩된 키는 일반적으로 한 장치(Alice)에서 가져온 드라이브를 다른 장치(Bob)에서 열 수 없게 하지만, YellowKey는 물리적 도난으로도 데이터가 유출될 수 있음을 보여줍니다.
• 서버 환경: GreenPlasma가 실제로 작동한다면 일반 사용자가 서버와 모든 연관 데이터를 장악할 수 있게 됩니다.

현재 상황

• 작성 시점에서는 YellowKey와 GreenPlasma에 대해 Microsoft의 공식 입장이 없습니다.
• BlueHammer는 이미 패치되었습니다.
• 연구원은 Microsoft가 RedSun을 조용히 패치했지만, 공식 확인은 없다고 주장하고 있습니다.

---