Zero-Day Windows Bocor: Eksploitasi ‘YellowKey’ Mampu Lewati Enkripsi BitLocker

Seorang peneliti keamanan siber anonim dengan alias Chaotic Eclipse (atau Nightmare Eclipse) kembali membuat geger dengan memublikasikan Proof-of-Concept (PoC) untuk dua kerentanan zero-day Windows yang belum ditambal oleh Microsoft.

Kedua celah keamanan tersebut dijuluki YellowKey (untuk melakukan bypass pada BitLocker) dan GreenPlasma (untuk eskalasi hak istimewa). Tindakan pembocoran ini, menurut sang peneliti, didorong oleh rasa frustrasi terhadap cara Microsoft menangani laporan bug keamanan.

YellowKey: ‘Backdoor’ di Lingkungan Pemulihan Windows

YellowKey merupakan kerentanan bypass BitLocker yang berdampak pada sistem operasi Windows 11 dan Windows Server 2022/2025. Celah ini mengeksploitasi kelemahan pada Windows Recovery Environment (WinRE).

Cara Kerja Eksploitasi:

1. Penyerang menempatkan file khusus berformat ‘FsTx’ ke dalam flash drive USB atau partisi EFI dari drive target.
2. Sistem di-reboot untuk masuk ke mode WinRE.
3. Windows secara otomatis membaca direktori \System Volume Information\FsTx dan memutar ulang log NTFS.
4. Proses ini menyebabkan penghapusan file winpeshl.ini. Akibatnya, alih-alih memuat antarmuka pemulihan standar, sistem justru memunculkan command prompt (CMD) dengan akses penuh ke volume penyimpanan yang dilindungi BitLocker (tanpa terkunci).

Batasan dan Kontroversi: Saat ini, eksploitasi YellowKey yang dirilis hanya berfungsi pada konfigurasi BitLocker TPM-only (di mana drive terbuka otomatis saat booting tanpa PIN). Eksploitasi ini juga hanya bisa dilakukan pada perangkat fisik aslinya, bukan pada drive curian yang dipindahkan ke mesin lain.

Namun, Chaotic Eclipse secara kontroversial mengeklaim bahwa kerentanan dasar ini tetap bisa dieksploitasi meskipun sistem menggunakan perlindungan TPM + PIN, meskipun ia menolak untuk merilis versi PoC tersebut ke publik karena dianggap “terlalu berbahaya”.

GreenPlasma: Eskalasi Hak Istimewa Menuju Akses SYSTEM

Eksploitasi kedua, GreenPlasma, merupakan kerentanan Elevation of Privileges (LPE) pada proses pembuatan memori CTFMON Windows.

• Dampak: Memungkinkan pengguna biasa (tanpa hak istimewa) untuk membuat objek memori arbitrer di dalam direktori yang dapat ditulis oleh sistem (SYSTEM-writable).
• Potensi: Penyerang dapat memanipulasi layanan khusus atau driver mode-kernel agar memercayai jalur direktori yang seharusnya tidak dapat diakses oleh pengguna standar.
• Status PoC: Kode eksploitasi yang dibocorkan saat ini belum sepenuhnya selesai, namun peneliti tersebut mengeklaim bahwa pihak yang cukup ahli dapat dengan mudah menyempurnakannya untuk mendapatkan akses SYSTEM shell secara penuh.

Peringatan untuk Patch Tuesday Bulan Depan

Ini bukan kali pertama Chaotic Eclipse membocorkan zero-day. Sebelumnya, ia juga merilis eksploitasi BlueHammer dan RedSun yang langsung dieksploitasi secara liar (in the wild) sesaat setelah dipublikasikan.

Sang peneliti bahkan memberikan ancaman terbuka bahwa ia telah menyiapkan “kejutan besar” untuk pembaruan Patch Tuesday Microsoft bulan depan.

Menanggapi rentetan kebocoran ini, juru bicara Microsoft menegaskan kembali komitmen perusahaan terhadap “pengungkapan kerentanan terkoordinasi” (coordinated vulnerability disclosure)—sebuah sindiran halus agar para peneliti melaporkan bug secara privat hingga patch resmi siap digulirkan.