보안 연구자가 Microsoft가 BitLocker 백도어를 만들었다고 말하며 익스플로잇 공개

• 보안 연구자 Nightmare-Eclipse가 YellowKey를 공개하며 BitLocker 전체 볼륨 암호화를 암호 없이 우회할 수 있다고 밝힘
• YellowKey는 FsTx 폴더를 Windows 호환 파일 시스템의 USB 드라이브에 복사한 뒤 WinRE에서 특정 순서를 거치면 재현 가능함
• 절차가 완료되면 명령 셸이 열리고 BitLocker 보호 볼륨 탐색, 복사, 파일 작업이 가능하다고 전해짐
• Nightmare-Eclipse는 우회 동작이 공식 WinRE 이미지에서만 나타난다며 의도적 백도어 가능성을 제기함
• 영향 대상은 Windows 11, Server 2022, Server 2025로 제시됐고 Windows 10은 영향받지 않는다고 덧붙임

YellowKey의 작동 조건

• 보안 연구자 Nightmare-Eclipse가 YellowKey를 공개하며 BitLocker의 전체 볼륨 암호화를 완전히 우회할 수 있다고 밝힘
• YellowKey는 첨부된 FsTx 폴더를 NTFS, FAT32, exFAT 같은 Windows 호환 파일 시스템으로 포맷된 USB 드라이브에 복사해 재현할 수 있음
• USB 드라이브 없이도 FsTx 파일을 Windows EFI 파티션에 복사하고 암호화된 디스크를 시스템에서 일시적으로 분리하면 동작할 수 있다고 전해짐
• 이후 BitLocker로 보호된 시스템을 재부팅하고 Windows Recovery Environment(WinRE) 로 들어간 뒤 특정 입력 순서를 따라야 함
• 절차가 정확히 완료되면 명령 셸이 나타나며, 암호 없이 BitLocker 보호 볼륨을 탐색·복사하거나 기타 파일 작업을 수행할 수 있다고 밝힘

백도어 의혹의 근거

• Nightmare-Eclipse는 YellowKey가 이전에 알려지지 않은 보안 버그로 보기에는 비정상적이며, Microsoft가 BitLocker 데이터 보호 시스템에 정상적인 백도어를 넣었을 가능성을 제기함
• 근거는 문제를 일으키는 구성요소가 공식 WinRE 이미지에서만 발견된다는 점임
• 같은 구성요소가 표준 Windows 설치 이미지에도 존재하지만, 실제 시스템에서 관찰된 BitLocker 우회 동작은 나타나지 않는다고 밝힘
• Nightmare-Eclipse는 “이것이 의도적이었다는 사실 말고는 설명을 떠올릴 수 없다”고 밝혔고, Windows 10은 영향받지 않으며 Windows 11, Server 2022, Server 2025만 영향을 받는다고 덧붙임

외부 확인과 추가 공개

• 제3자 연구자들이 Nightmare-Eclipse의 GitHub 자료에 적힌 방식대로 YellowKey가 동작한다는 점을 확인한 것으로 전해짐
• Nightmare-Eclipse는 권한 상승이 가능하다고 알려진 두 번째 익스플로잇 GreenPlasma도 공개함
• GreenPlasma는 SYSTEM 수준 접근을 달성하는 전체 개념증명 코드를 공개하지 않았고, 다음 달 Patch Tuesday 전에 추가 세부사항을 공개할 수 있다고 시사함

완화 방향

• YellowKey의 백도어성 동작 의혹에 대한 완화는 비교적 단순하다고 제시됨
• 보안 전문가들은 단일 암호화 시스템에만 의존하지 말고, 잘 검토된 전체 디스크 암호화 대안도 평가하라고 권장함
• 예시로 VeraCrypt가 제시됨