제로데이 공격, Windows 11 기본 BitLocker 보호 완전 무력화

출처: Ars Technica

온라인에 유포된 제로데이 익스플로잇은 물리적으로 Windows 11 시스템에 접근할 수 있는 사람에게 기본 BitLocker 보호를 우회하고 암호화된 드라이브에 몇 초 만에 완전한 접근 권한을 부여합니다.

이번에 공개된 익스플로잇은 YellowKey 라는 이름으로, 이번 주 초 별명 Nightmare‑Eclipse 를 사용하는 연구원이 공개했습니다. 이 도구는 Microsoft가 제공하는 전체 디스크 암호화 보호인 BitLocker의 기본 Windows 11 배포판을 안정적으로 우회합니다. BitLocker는 복호화 키가 TPM(신뢰할 수 있는 플랫폼 모듈)이라는 보안 하드웨어에 저장되어 있어, 키가 없으면 디스크 내용에 접근할 수 없게 합니다. BitLocker는 정부와 계약을 맺은 기업을 포함한 많은 조직에서 필수 보호 수단으로 사용됩니다.

한 디스크 볼륨이 다른 볼륨을 조작할 때

YellowKey 익스플로잇의 핵심은 맞춤형 FsTx 폴더입니다. 이 폴더에 대한 온라인 문서는 찾기 어렵습니다. 아래에서 설명하듯이 fstx.dll 파일과 연관된 디렉터리는 Microsoft가 Transactional NTFS(https://learn.microsoft.com/en-us/windows/win32/fileio/deprecation-of-txf)라 부르는 기술과 관련이 있는 것으로 보이며, 이는 개발자가 단일 파일, 다중 파일 또는 여러 소스에 걸친 파일 작업을 “트랜잭션 원자성”으로 처리할 수 있게 합니다.

우회를 수행하는 단계는 매우 간단합니다:

• 맞춤형 FsTx 폴더를 Nightmare‑Eclipse 익스플로잇 페이지에서 복사해 NTFS 또는 FAT 형식으로 포맷된 USB 드라이브에 저장합니다.
• USB 드라이브를 BitLocker가 적용된 장치에 연결합니다.
• 장치를 부팅하고 바로 [Ctrl] 키를 누른 채 유지합니다.
• Windows 복구 모드에 진입합니다.

세 번째 단계를 수행하는 방법은 최소 두 가지가 있습니다. 첫 번째 방법은 Windows에 부팅한 뒤 [Shift] 키를 누른 채 전원 아이콘을 클릭하고 재시작을 선택하는 것입니다. 두 번째 방법은 장치를 켜자마자 Windows가 부팅을 시작하는 순간 바로 재시작하는 것입니다.

어느 방법을 쓰든 CMD.EXE(명령 프롬프트) 창이 나타나며, 이 프롬프트는 전체 드라이브 내용에 대한 완전한 접근 권한을 가집니다. 따라서 공격자는 파일을 복사·수정·삭제할 수 있습니다. 일반적인 Windows 복구 흐름에서는 BitLocker 복구 키를 입력해야 하지만, YellowKey 익스플로잇은 이 보호 장치를 우회합니다. Kevin Beaumont와 Will Dormann 등 여러 연구자가 이 익스플로잇이 여기서 설명한 대로 동작함을 확인했습니다.

맞춤형 FsTx 폴더 안에서 무엇이 우회를 일으키는지는 아직 명확하지 않습니다. Dormann은 이 현상이 Transactional NTFS와 관련이 있을 가능성이 높으며, Transactional NTFS 자체가 내부적으로 command‑log 파일 시스템(https://learn.microsoft.com/en-us/windows-hardware/drivers/kernel/introduction-to-the-common-log-file-system)을 사용한다고 언급했습니다. 또한 Dormann은 Windows의 fstx.dll을 살펴보면 FsTxFindSessions() 함수 안에서 \System Volume Information\FsTx 경로를 명시적으로 찾는 코드를 확인할 수 있다고 덧붙였습니다.