Microsoft Rilis Mitigasi untuk Exploit Bypass BitLocker YellowKey CVE-2026-45585

Microsoft baru-baru ini mengumumkan mitigasi penting untuk kerentanan bypass BitLocker yang dikenal dengan nama YellowKey, setelah kerentanan ini dipublikasikan secara luas pada minggu lalu. Kerentanan ini diberi kode CVE-2026-45585 dan memiliki skor CVSS sebesar 6,8, mengindikasikan risiko keamanan yang signifikan namun tidak kritis.

Detail Kerentanan YellowKey dan Dampaknya

Menurut siaran resmi Microsoft, YellowKey merupakan sebuah bypass fitur keamanan BitLocker yang memungkinkan penyerang dengan akses fisik untuk melewati proteksi enkripsi pada perangkat Windows yang rentan. Microsoft menyatakan:

"Microsoft menyadari adanya kerentanan bypass fitur keamanan di Windows yang dikenal secara publik sebagai 'YellowKey'. Bukti konsep dari kerentanan ini telah dipublikasikan, yang melanggar praktik terbaik koordinasi pengungkapan kerentanan."

Kerentanan ini memengaruhi versi Windows 11 26H1, 24H2, dan 25H2 untuk sistem berbasis x64, serta Windows Server 2025, termasuk instalasi Server Core. Peneliti keamanan bernama Chaotic Eclipse (alias Nightmare-Eclipse) yang menemukan dan mengungkap kerentanan ini menjelaskan mekanismenya sebagai berikut:

• Penyerang menempatkan file FsTx yang telah dimanipulasi pada USB drive atau partisi EFI.
• USB tersebut kemudian dicolokkan ke komputer Windows dengan BitLocker aktif.
• Setelah reboot dan masuk ke Windows Recovery Environment (WinRE), menahan tombol CTRL akan memicu shell dengan akses tidak terbatas ke volume yang dilindungi BitLocker.

"Jika semua langkah dilakukan dengan benar, sebuah shell akan muncul dengan akses tanpa batas ke volume yang dilindungi BitLocker," tulis peneliti tersebut di laman GitHub-nya.

Langkah Mitigasi yang Diterapkan Microsoft

Untuk mengatasi ancaman ini, Microsoft mengeluarkan beberapa langkah mitigasi teknis yang harus dilakukan oleh administrator dan pengguna, antara lain:

1. Melakukan mounting pada citra WinRE di setiap perangkat.
2. Memuat system registry hive dari citra WinRE yang telah di-mount.
3. Memodifikasi nilai BootExecute dengan menghapus nilai autofstx.exe dari Session Manager's BootExecute REG_MULTI_SZ.
4. Menyimpan dan meng-unload Registry hive.
5. Melepas mount dan meng-commit citra WinRE yang telah diperbarui.
6. Membangun kembali kepercayaan BitLocker untuk WinRE.

Will Dormann, peneliti keamanan, menambahkan bahwa mitigasi ini mencegah utilitas otomatis autofstx.exe berjalan saat WinRE diluncurkan. Dengan begitu, replay NTFS transaksional yang menghapus winpeshl.ini tidak terjadi, sehingga serangan YellowKey bisa dicegah. Dormann juga merekomendasikan untuk mengubah pengaturan proteksi BitLocker dari mode TPM-only ke TPM+PIN agar lapisan keamanan bertambah.

Rekomendasi Pengamanan Tambahan untuk Pengguna dan Administrator

Microsoft menegaskan pengguna yang sudah mengenkripsi perangkatnya dengan BitLocker menggunakan proteksi TPM-only disarankan untuk beralih ke mode TPM+PIN. Perubahan ini bisa dilakukan melalui PowerShell, command line, atau melalui control panel. Mode ini mengharuskan pengguna memasukkan PIN pada saat booting, sehingga serangan fisik seperti YellowKey menjadi jauh lebih sulit berhasil.

Bagi perangkat yang belum dienkripsi, administrator disarankan untuk mengaktifkan opsi Require additional authentication at startup melalui Microsoft Intune atau Group Policies, serta memastikan Configure TPM startup PIN disetel ke "Require startup PIN with TPM." Langkah-langkah ini akan memperkuat proteksi BitLocker dan mengurangi risiko eksploitasi kerentanan tersebut.

Analisis Redaksi

Menurut pandangan redaksi, kerentanan YellowKey ini menyoroti pentingnya menggabungkan proteksi perangkat keras TPM dengan faktor autentikasi tambahan seperti PIN, terutama bagi pengguna yang mengandalkan BitLocker sebagai solusi enkripsi utama. Meskipun skor CVSS 6,8 menunjukkan risiko sedang, YellowKey jelas merupakan game-changer dalam keamanan fisik perangkat karena memungkinkan bypass hanya dengan akses fisik dan USB.

Langkah mitigasi Microsoft memang teknis dan memerlukan perhatian dari administrator TI, terutama di perusahaan dan instansi pemerintah yang mengandalkan BitLocker. Namun, yang lebih penting adalah peningkatan kesadaran pengguna akan perlunya kombinasi keamanan dan pengamanan tambahan agar lapisan enkripsi tidak mudah ditembus.

Kedepannya, kita harus waspada terhadap eksploitasi lain yang mungkin memanfaatkan fitur recovery Windows yang selama ini dianggap aman. Pembaruan dan mitigasi harus segera diimplementasikan agar data penting tetap terlindungi dari ancaman serupa. Pantau terus perkembangan keamanan Windows dan update mitigasi resmi dari Microsoft untuk menjaga perangkat Anda tetap aman.

Untuk informasi lebih lengkap dan pembaruan resmi, kunjungi sumber aslinya di The Hacker News.