마이크로소프트, YellowKey 비트로커 우회 CVE‑2026‑45585 대응책 발표

출처: The Hacker News

요약

마이크로소프트는 화요일에 지난 주 공개된 YellowKey라는 BitLocker 우회 취약점에 대한 완화 조치를 발표했습니다.
현재 CVE‑2026‑45585로 추적되는 이 제로데이 결함은 CVSS 점수 6.8을 가지며, BitLocker 보안 기능 우회로 설명됩니다.

“마이크로소프트는 ‘YellowKey’라고 공개적으로 불리는 Windows 보안 기능 우회 취약점을 인지하고 있습니다. 이 취약점에 대한 개념 증명이 공개되어, 조정된 취약점 공개 관행을 위반했습니다.” – 마이크로소프트 권고문

영향을 받는 제품:

• Windows 11 버전 26H1 (x64)
• Windows 11 버전 24H2 (x64)
• Windows 11 버전 25H2 (x64)
• Windows Server 2025 (Server Core 설치 포함)

공개 및 기술 세부 사항

YellowKey는 보안 연구원 Chaotic Eclipse(별명 Nightmare‑Eclipse)에 의해 공개되었습니다. 공격 흐름은 다음과 같습니다:

1. 특수하게 제작된 FsTx 파일을 USB 드라이브 또는 EFI 파티션에 배치한다.
2. BitLocker가 활성화된 대상 Windows 컴퓨터에 USB 드라이브를 연결한다.
3. Windows 복구 환경(WinRE)으로 부팅한다.
4. CTRL 키를 누른 상태를 유지해 제한 없는 셸을 실행한다.

“모든 과정을 올바르게 수행하면, BitLocker로 보호된 볼륨에 대한 제한 없는 접근 권한을 가진 셸이 생성됩니다.” – 연구자가 GitHub에 남긴 글

이 익스플로잇은 물리적 접근 권한을 가진 공격자가 기존 자격 증명, 소프트웨어 설치, 네트워크 접근 없이도 BitLocker 디바이스 암호화를 우회하고 암호화된 데이터를 읽을 수 있게 합니다.

“YellowKey는 복구 인터페이스에서 행동 기반 신뢰 가정을 악용해, 사전 부팅 복구 단계 중에 암호화된 볼륨에 대한 전체 접근 권한을 가진 제한 없는 셸을 생성합니다.” – LevelBlue

완화 단계

마이크로소프트는 취약점을 해결하기 위해 다음 절차를 권고합니다:

1. 각 영향을 받는 장치에서 WinRE 이미지를 마운트한다.
2. 마운트된 WinRE 이미지의 시스템 레지스트리 하이브를 마운트한다.
3. BootExecute 값을 수정해 Session Manager의 BootExecute REG_MULTI_SZ 값에서 autofstx.exe 항목을 제거한다.
4. 레지스트리 하이브를 저장하고 언마운트한다.
5. 업데이트된 WinRE 이미지를 언마운트하고 커밋한다.
6. WinRE에 대한 BitLocker 신뢰를 재설정한다.

“구체적으로 말하면, WinRE 이미지가 실행될 때 자동으로 시작되는 FsTx 자동 복구 유틸리티 autofstx.exe를 방지합니다. 이 변경으로 winpeshl.ini를 삭제하는 Transactional NTFS 재생이 발생하지 않게 됩니다.” – Will Dormann

추가 권고 사항

• 이미 암호화된 장치에서는 BitLocker 보호자 모드를 TPM‑only에서 TPM + PIN으로 전환합니다. 이는 PowerShell, 명령 프롬프트 또는 제어판을 통해 수행할 수 있으며, 시작 시 PIN 입력을 요구해 YellowKey 공격을 효과적으로 차단합니다.
• 아직 암호화되지 않은 장치의 경우, Microsoft Intune 또는 그룹 정책을 통해 **“시작 시 추가 인증 요구”**를 활성화하고 **“TPM 시작 PIN 구성”**을 **“TPM과 함께 시작 PIN 요구”**로 설정합니다.

참고 자료

• YellowKey 권고문 (Microsoft)
• The Hacker News의 YellowKey 기사
• LevelBlue 분석
• Microsoft BitLocker 구성 가이드
• 레지스트리 하이브 문서