USB 하나로 BitLocker(비트로커) 우회-YellowKey BitLocker 우회 취약점

오늘은 USB 하나로 BitLocker(비트로커) 우회-YellowKey BitLocker 우회 취약점에 대해 글을 적어 보겠습니다.
먼저 해당 취약점은 2026년6월 보안 취약점 패치를 적용하지 않은 상태에서 글을 쓰는 상황입니다.Chaotic Eclipse는 이전에 BlueHammer와 RedSun 두 건의 제로데이를 마이크로소프트의 보안팀에 정상적인 책임 있는 공개(responsible disclosure) 절차를 통해 보고했으나 무시했다고 주장을 하고 있으며 해당 보안 연구자는 취약점을 발견하는 즉시 공개하는 방식으로 전환했으며 이리저리하다가 세상에 나오게 된 취약점입니다.
YellowKey 익스플로잇(CVE-2026-45585)은 USB에 특정 파일을 복사하고 Windows 복구 환경(WinRE)으로 재부팅 하는 것만으로 BitLocker로 암호화된 드라이브에 키 입력 없이 완전 접근을 허용하는 문제입니다.
익스플로잇 실행 후 USB의 파일이 자동 삭제되며, 이는 단순 버그가 아닌 의도적 백도어의 특징을 가지고 있는것 이 특징입니다.
공격 절차
YellowKey의 공격 방식은 놀라울 만큼 단순
다이소에 파는 USB 메모리를 준비하고 System Volume Information 폴더에 쓰기 권한을 얻고 FsTx 폴더와 그 내용물을 복사
그다음 Shift+클릭으로 Windows를 복구 환경으로 재시작
이때 Control 키를 누르고 있으면 됨
별도의 메뉴나 인증 없이 관리자 권한의 명령 프롬프터가 열리고 BitLocker로 잠겨 있던 드라이브에 완전히 접근할 수 있게 되는 취약점
주목할 부분은 익스플로잇 실행 후 USB에서 관련 파일이 자동으로 사라진다는 것
BLF 헤더
sTxKtmLog.blf, 처음 64바이트
15 00 01 00 02 ...
표준 CLFS BLF 매직 헤더
Windows의 Common Log File System은 BitLocker 볼륨 상태 메타데이터

FsTxKtmLog

NTFS USN 저널 및 거의 모든 시스템 수준 롤백 로그를 포함하여 영구 트랜잭션 로그에 이 형식을 사용
FsTxLogContainer00000000000000000001
\??\C:\Windows\win.ini
\??\X:\Windows\System32\winpeshl.ini
\??\접두사는 NT 개체 관리자의 네임스페이스
커널 코드는 이 양식의 경로를 읽습니다.
C:주요 Windows 설치
X:WinRE 마운트가 있는 WinPE 램 디스크
BLF 헤더 자체 참조 경로가 포함되어 있으므로 CLFS 런타임은 자체 컨테이너를 찾을 위치
\??\C:\System Volume Information\FsTx\95F62703B343F111A92A005056975458\FsTxLogs\FsTxKtmLog.blf
%BLF%\FsTxKtmLogContainer00000000000000000001
%BLF%\FsTxKtmLogContainer00000000000000000002
%BLF%CRFS는 런타임에 확장되는 상대 경로 토큰
C:\System Volume Information\FsTx\(GUID)
경로는 WinRE 부팅을 포함하여 부팅 중 활성 트랜잭션을 검색 Windows는 표준 위치

FsTxLogContainer00000000000000000001

USB의 해당 위치에 있는 이러한 파일을 드롭하고 대상 컴퓨터를 WinRE로 부팅하면 커널이 트랜잭션을 실행을 하는 느낌
문자열 분석은 제로 셸 코드, 0개의 임베디드 PE 바이너리를 표시
오버플로 원시 없음, ROP 가제트 없음
공격 대상은 커널이 아닌 구성 파일
트랜잭션 수정 winpeshl.ini, 어떤 프로그램이 WinRE의 셸로 실행되는지 제어
시작 프로그램 바꾸기 cmd.exe 그리고 당신은 이미 BitLocker 양이 있는 제한 없는
보안이 신뢰 위에 작동한다는 사실을 하는데 기업과 정부는 BitLocker를 신뢰해서 기밀 데이터를 맡겼으며 보안 공개 절차를 신뢰해서 취약점을 보고했지만 두 신뢰 모두 깨졌어 버린 사건?