Microsoft kini melacak celah ini sebagai CVE-2026-45585, atau Windows BitLocker Security Feature Bypass Vulnerability. Celah tersebut memungkinkan YellowKey menembus enkripsi BitLocker secara penuh pada PC Windows yang terdampak.
Ancaman ini penting karena serangan tidak membutuhkan pengguna memasukkan kata sandi. Begitu dieksploitasi, pelaku bisa membuka akses ke data pribadi, daftar kata sandi, dan aset digital lain yang tersimpan di disk terenkripsi.
YellowKey dikembangkan oleh Nightmare-Eclipse dan bekerja dengan memanfaatkan kode yang tertinggal di lingkungan Windows Recovery Environment atau WinRE. Saat proses boot masuk ke mode pemulihan, kode itu dapat mematikan perlindungan BitLocker dan membuka drive yang terkena dampak.
Sistem yang terdampak
Serangan ini memengaruhi Windows 11 serta Windows Server 2022 dan 2025. Windows 10 tidak terdampak karena perbedaan pada implementasi WinRE.
Meski begitu, laporan teknis juga menyebut kemungkinan versi Windows yang lebih baru lain dapat ikut terdampak. Itu membuat perhatian terhadap perangkat yang masih mengandalkan BitLocker menjadi semakin besar.
Cara kerja bypass
Setelah file YellowKey dimuat ke USB drive atau bahkan disalin ke partisi EFI pada target, penyerang hanya perlu mem-boot perangkat ke Windows Recovery Environment. Dengan menekan kombinasi tombol tertentu, sistem bisa langsung membuka semua drive yang rentan.
Mekanisme serangan ini memanfaatkan mode uji pada WinRE yang secara otomatis membuka enkripsi BitLocker. Setelah itu, sebuah flag bernama FailRelock dapat disetel agar drive tidak dikunci kembali, sehingga penyerang memperoleh akses penuh ke command line.
Risiko untuk data dan aset digital
Risikonya bukan hanya pada file kerja biasa. Data pribadi, daftar kredensial, dan bahkan Bitcoin atau “cybercoins” lain yang tersimpan di komputer terdampak disebut berada dalam bahaya serius.
Karena serangan bekerja pada lapisan boot dan pemulihan, perlindungan BitLocker tidak lagi cukup jika perangkat masuk ke kondisi yang bisa dieksploitasi. Kondisi itu membuat semua data rahasia pada sistem terdampak layak dianggap berisiko penuh oleh bisnis maupun pengguna rumahan.
Mitigasi yang disarankan
Microsoft menyebut salah satu langkah terbaik adalah menambahkan PIN pada BitLocker. PIN yang ideal adalah PIN alfanumerik yang lebih kuat, sementara mode Standby sebaiknya dinonaktifkan agar sistem dibiarkan dalam kondisi Shut Down penuh atau Hibernated saat tidak dipakai.
Untuk pengguna rumahan, PIN dapat ditambahkan lewat Control Panel, lalu BitLocker Drive Encryption, memilih drive, dan mengubah cara drive dibuka saat startup. Pengguna juga diingatkan untuk menyimpan BitLocker Recovery Key 48 digit di tempat aman.
Ada pula mitigasi lain yang melibatkan skrip untuk menghapus autofstx.exe dari nilai registry BootExecute di lingkungan WinRE. Namun langkah ini tidak menutup celah sepenuhnya karena registry itu bisa dipulihkan sebelum YellowKey dijalankan, dan serangan juga dapat dilakukan lewat sniffing hardware untuk mengambil VMK langsung dari chip TPM.
Microsoft sendiri belum mengakui serangan ini sebagai isu yang sudah ditambal. Sampai ada pembaruan resmi, perangkat yang masih mengandalkan BitLocker pada sistem terdampak tetap perlu diperlakukan sebagai target yang rentan.
