Sebuah celah baru pada Windows 11 membuat perlindungan BitLocker jadi sorotan serius. Peneliti keamanan menunjukkan bahwa proteksi enkripsi disk itu bisa dilewati hanya dengan bantuan USB stick, kombinasi tombol tertentu, dan akses fisik ke perangkat.
Yang membuat kasus ini lebih panas, peneliti bernama Nightmare-Eclipse menilai celah tersebut bukan sekadar bug biasa. Ia menyebutnya sebagai sesuatu yang tampak seperti backdoor, karena perilakunya dinilai sulit dijelaskan secara wajar.
BitLocker yang seharusnya melindungi data
BitLocker selama ini menjadi lapisan enkripsi yang bekerja diam-diam di banyak perangkat Windows 11. Sistem ini terhubung ke TPM dan dirancang agar isi drive tetap tidak bisa dibaca saat laptop dicuri atau diambil orang lain.
Dalam skenario normal, perlindungan ini menjadi fondasi utama keamanan data di perangkat. Karena itu, kabar bahwa BitLocker dapat dilewati dengan prosedur yang relatif sederhana langsung memicu kekhawatiran besar.
Nightmare-Eclipse merilis proof of concept bernama YellowKey pada 12 Mei. Targetnya adalah Windows 11 serta Windows Server 2022 dan 2025, sementara Windows 10 disebut tidak terdampak.
Celah ini bekerja pada BitLocker dengan mode TPM-only, yang merupakan konfigurasi default di banyak mesin konsumen. Peneliti itu juga mengklaim metode serupa dapat bekerja terhadap konfigurasi TPM+PIN, tetapi versi tersebut tidak dipublikasikan.
Cara kerja YellowKey
Menurut rincian yang dipublikasikan, seluruh eksploit cukup disiapkan dalam sebuah folder yang bisa disalin ke USB stick. Folder FsTx itu ditempatkan di jalur tertentu di dalam direktori System Volume Information.
Setelah USB dipasang ke perangkat Windows 11 yang terkunci, proses dilanjutkan dengan masuk ke Windows Recovery Environment atau WinRE. Pengguna menahan Shift sambil menekan Restart, lalu melepas Shift dan menahan tombol CTRL pada momen reboot.
Jika waktunya tepat, sistem akan membuka command prompt dengan akses tanpa pembatasan ke volume terenkripsi. Dari titik itu, drive yang dilindungi BitLocker dapat dipasang menggunakan diskpart dan isi datanya dapat dibaca.
Peneliti juga menyebut USB stick sebenarnya bukan satu-satunya jalur. Jika drive target sempat dilepas, folder FsTx dapat ditulis ke partisi sistem EFI lalu drive dipasang kembali, dan pemicu celah tetap bisa bekerja.
Artinya, mitigasi yang hanya melarang media removable tidak otomatis menutup risiko. Dalam pengujian, proses reproduksi memang bisa butuh beberapa percobaan, tetapi hambatan itu disebut lebih sebagai gangguan teknis, bukan perlindungan nyata.
Sudah direproduksi pihak lain
Klaim ini tidak berhenti pada demonstrasi pembuatnya saja. Peneliti keamanan KevTheHermit menyatakan telah berhasil mereproduksi langkah tersebut pada Windows 11 build 10.0.26100.1 dan membagikan hasilnya di X.
Konfirmasi independen ini membuat YellowKey lebih sulit diabaikan sebagai klaim sepihak. Apalagi celah tersebut menargetkan konfigurasi BitLocker yang umum dipakai pada perangkat konsumen.
Bagian lain yang menambah kontroversi adalah lokasi komponen pemicu bypass itu. Dalam penjelasan YellowKey, komponen yang bertanggung jawab atas celah hanya ada di image WinRE, sementara komponen dengan nama persis sama di instalasi Windows normal tidak memiliki fungsi yang memicu bypass.
Nightmare-Eclipse menyebut hal itu sebagai alasan utama kecurigaannya. Ia menyatakan tidak bisa menemukan penjelasan lain selain kemungkinan bahwa mekanisme itu dibuat secara sengaja.
Windows 10 justru tidak terdampak
Salah satu aspek paling aneh dalam temuan ini adalah absennya dampak pada Windows 10. Hingga kini, penyebab perbedaan itu belum jelas.
Nightmare-Eclipse juga mengakui akar masalah sebenarnya belum dipahami publik secara menyeluruh. Dengan kata lain, exploit sudah ada dan bekerja, tetapi detail teknis paling mendasar tentang mengapa hal itu bisa terjadi masih belum terjawab sepenuhnya.
Di saat bersamaan, peneliti tersebut memang dikenal keras terhadap Microsoft. Sebelumnya ia juga merilis BlueHammer dan UnDefend, dua eksploit lain yang berfokus pada Windows tetapi tidak terkait langsung dengan jalur kode BitLocker yang dipakai YellowKey.
Bersamaan dengan YellowKey, ia juga merilis eksploit sekunder bernama GreenPlasma. Ini merupakan local privilege escalation terhadap subsistem CTFMON yang dapat memberi hak SYSTEM dari akun pengguna biasa, meski kode eskalasi final tidak dipublikasikan.
Apa yang bisa dilakukan pengguna saat ini
Langkah pertahanan yang biasanya dianggap masuk akal belum tentu membantu dalam kasus ini. Beralih dari TPM-only ke TPM+PIN terdengar seperti solusi alami, tetapi peneliti menyatakan konfigurasi itu juga tidak menolong.
Sampai sekarang, belum ada pihak di luar Nightmare-Eclipse yang menguji klaim tersebut pada TPM+PIN untuk mengonfirmasi atau membantahnya. Karena itu, pencegahan akses fisik ke perangkat menjadi satu-satunya mitigasi yang bisa direkomendasikan dengan keyakinan lebih tinggi.
Untuk lingkungan perusahaan yang masih menjalankan TPM-only lewat kebijakan, ancamannya dinilai setara dengan drive yang tidak terenkripsi sampai tambalan tersedia. Ini penting karena model ancamannya berubah drastis ketika akses fisik singkat sudah cukup untuk membuka isi drive.
Microsoft belum mengeluarkan pengakuan publik atas YellowKey maupun menetapkan CVE pada saat pernyataan itu dibuat. Perusahaan hanya menyatakan memiliki komitmen untuk menyelidiki laporan masalah keamanan dan memperbarui perangkat yang terdampak secepat mungkin, serta mendukung coordinated vulnerability disclosure.
Tantangan lain ada pada jalur perbaikannya. Karena bug berada di image WinRE, bukan di sistem operasi utama, pembaruan kemungkinan lebih rumit dibanding cumulative update biasa.
Riwayat pembaruan partisi pemulihan juga tidak selalu mulus. Kasus seperti KB5028997 pernah memaksa banyak pengguna mengubah ukuran recovery partition secara manual sebelum pembaruan dapat dipasang, sehingga perhatian kini tertuju pada seberapa cepat dan seberapa rapi Microsoft dapat menutup celah tersebut.
Source: www.xda-developers.com-
-
-
-
