Microsoft Bagikan Panduan Mitigasi untuk Celah Keamanan Zero-Day Windows “YellowKey” yang Mampu Membuka Enkripsi BitLocker

Microsoft secara resmi menerbitkan panduan mitigasi darurat untuk meredam ancaman eksploitasi celah keamanan zero-day kritikal terbaru pada sistem operasi Windows yang dijuluki “YellowKey”. Kerentanan bypass fitur keamanan ini memungkinkan penyerang dengan akses fisik ke perangkat untuk membobol serta membaca isi data di dalam kandar (drive) yang dilindungi oleh enkripsi Windows BitLocker.

Celah ini pertama kali dibongkar ke publik minggu lalu oleh seorang peneliti keamanan anonim yang menggunakan nama samaran ‘Nightmare Eclipse’. Peneliti tersebut mendeskripsikan celah ini sebagai “pintu belakang” (backdoor) bawaan sistem dan nekat mempublikasikan kode bukti eksploitasi (Proof-of-Concept – PoC) secara bebas di internet.

Mekanisme Serangan “YellowKey”: Manfaatkan File ‘FsTx’ dan WinRE

Berdasarkan dokumen PoC yang disebarkan oleh Nightmare Eclipse, skenario serangan YellowKey memanfaatkan kelemahan pada rantai proses pemulihan sistem (recovery boot):

1. Penyisipan Berkas Kustom: Penyerang menaruh file konfigurasi khusus bernama ‘FsTx’ ke dalam sebuah USB flashdisk atau partisi EFI sistem.
2. Pemicuan WinRE: Perangkat kemudian dinyalakan ulang (reboot) secara paksa untuk masuk ke dalam Lingkungan Pemulihan Windows (Windows Recovery Environment – WinRE).
3. Eksekusi Shell Unrestricted: Saat proses pemuatan gambar WinRE berlangsung, penyerang cukup menahan tombol CTRL pada keyboard untuk memicu kemunculan jendela perintah (command shell) dengan hak akses tak terbatas (unrestricted access) langsung ke dalam volume penyimpanan yang terenkripsi BitLocker.

Aksi pembocoran massal oleh Nightmare Eclipse ini diklaim sebagai bentuk protes keras terhadap cara kerja Microsoft Security Response Center (MSRC) yang dinilai lambat dan buruk dalam merespons laporan celah keamanan yang ia ajukan di masa lalu. Sebelum YellowKey, peneliti ini juga telah membocorkan rentetan zero-day Windows lain sepanjang beberapa bulan terakhir, termasuk BlueHammer (CVE-2026-33825), RedSun, GreenPlasma (pemicu SYSTEM shell), serta UnDefend (pemblokir pembaruan definisi Windows Defender).

Langkah Mitigasi Darurat dari Microsoft (CVE-2026-45585)

Microsoft kini resmi melacak celah YellowKey di bawah kode registrasi CVE-2026-45585. Selagi tim insinyur internal menyiapkan patch pembaruan keamanan permanen, Microsoft mendesak para administrator IT untuk segera menerapkan dua metode mitigasi manual berikut:

Metode 1: Mematikan Otomatisasi autofstx.exe via Registri

Langkah ini bertujuan untuk memutus rantai eksekusi utilitas pemulihan otomatis yang mengeksploitasi file inisialisasi Windows PE.

• Akses penataan registri sistem Windows Anda.
• Cari nilai komponen BootExecute (bertipe REG_MULTI_SZ) yang berada di bawah kendali Session Manager.
• Hapus entri baris autofstx.exe dari daftar nilai tersebut.

🛠️ Penjelasan Teknis: “Langkah ini secara spesifik mencegah utilitas FsTx Auto Recovery, yaitu autofstx.exe, untuk berjalan secara otomatis ketika gambar WinRE diluncurkan. Dengan perubahan ini, proses pemutaran ulang Transactional NTFS yang bertugas menghapus file winpeshl.ini tidak akan terjadi,” urai Will Dormann, analis kerentanan utama di Tharros. Setelah itu, bangun kembali relasi kepercayaan (trust) BitLocker untuk WinRE mengikuti prosedur yang tertera pada panduan CVE-2026-33825.

Metode 2: Migrasi Mode BitLocker dari “TPM-Only” ke “TPM+PIN”

Metode paling efektif untuk memblokir total serangan fisik YellowKey adalah dengan mewajibkan pengisian PIN sebelum sistem operasi melakukan dekripsi kandar saat startup.

• Untuk Perangkat yang Sudah Terenkripsi: Ubah mode otentikasi BitLocker dari yang semula hanya mengandalkan chip perangkat keras (TPM-only mode) menjadi kombinasi proteksi TPM + PIN. Langkah ini bisa dieksekusi secara massal melalui baris perintah PowerShell, Command Prompt (CMD), atau menu Control Panel lokal.
• Untuk Perangkat Baru (Belum Terenkripsi): Para administrator IT dapat memaksa penerapan kebijakan ini pada skala jaringan korporat menggunakan Microsoft Intune atau kebijakan grup (Group Policies – GPO). Pastikan opsi “Require additional authentication at startup” diaktifkan dan setel bagian “Configure TPM startup PIN” ke pilihan “Require startup PIN with TPM”.