Temuan baru soal BitLocker di Windows 11 membuat banyak pengguna menaruh perhatian pada satu hal yang selama ini dianggap paling aman: akses fisik ke perangkat. Seorang peneliti keamanan menunjukkan bahwa proteksi enkripsi disk itu dapat dilewati dengan bantuan USB stick dan urutan tombol tertentu, selama penyerang memegang perangkat secara langsung.
Yang membuat kasus ini semakin sensitif adalah dugaan bahwa perilaku mekanismenya tidak sekadar lahir dari bug biasa. Peneliti bernama Nightmare-Eclipse menilai cara kerja celah tersebut sulit dijelaskan secara wajar, sampai ia menyebutnya tampak seperti backdoor.
Target utama dan konfigurasi yang terdampak
Eksploit ini diperlihatkan lewat proof of concept bernama YellowKey yang dirilis pada 12 Mei. Targetnya mencakup Windows 11 serta Windows Server 2022 dan 2025, sementara Windows 10 disebut tidak terdampak.
Celah ini bekerja pada BitLocker dengan mode TPM-only, yaitu konfigurasi yang cukup umum pada banyak mesin konsumen. Nightmare-Eclipse juga mengklaim metode serupa dapat bekerja pada konfigurasi TPM+PIN, meski versi itu tidak dipublikasikan.
BitLocker sendiri dirancang agar isi drive tetap tidak bisa dibaca ketika perangkat jatuh ke tangan orang lain. Karena itu, temuan bahwa perlindungan ini dapat dilewati lewat prosedur yang relatif sederhana langsung memicu kekhawatiran di komunitas keamanan.
Bagaimana bypass dilakukan
Menurut penjelasan yang dipublikasikan, eksploit disiapkan dalam folder yang bisa disalin ke USB stick. Folder bernama FsTx itu ditempatkan pada jalur tertentu di dalam direktori System Volume Information.
Setelah USB dipasang ke perangkat Windows 11 yang terkunci, proses dilanjutkan lewat Windows Recovery Environment atau WinRE. Pengguna menahan Shift sambil menekan Restart, lalu melepas Shift dan menahan tombol CTRL pada momen reboot.
Jika waktunya tepat, sistem akan membuka command prompt dengan akses tanpa pembatasan ke volume terenkripsi. Dari situ, drive yang dilindungi BitLocker bisa dipasang menggunakan diskpart dan isi datanya dapat dibaca.
Nightmare-Eclipse juga menyebut USB stick bukan satu-satunya jalur. Jika drive target sempat dilepas, folder FsTx dapat ditulis ke partisi sistem EFI lalu drive dipasang kembali, dan pemicu celah tetap bisa bekerja.
Konfirmasi dari peneliti lain
Klaim tersebut tidak berhenti pada demonstrasi pembuatnya saja. Peneliti keamanan KevTheHermit menyatakan berhasil mereproduksi langkah itu pada Windows 11 build 10.0.26100.1 dan membagikan hasilnya di X.
Konfirmasi independen ini membuat YellowKey lebih sulit dianggap sebagai klaim sepihak. Karena menyasar konfigurasi BitLocker yang umum dipakai di perangkat konsumen, dampaknya pun terlihat lebih serius.
Mengapa dugaan backdoor ikut mencuat
Bagian yang paling memancing tanda tanya muncul dari lokasi komponen yang memicu bypass. Dalam penjelasan YellowKey, komponen yang bertanggung jawab atas celah hanya ada di image WinRE, sementara komponen dengan nama yang sama di instalasi Windows normal tidak memiliki fungsi pemicu bypass.
Nightmare-Eclipse menyebut temuan itu sebagai alasan utama kecurigaannya. Ia mengatakan tidak menemukan penjelasan lain selain kemungkinan bahwa mekanisme tersebut dibuat secara sengaja.
Hal lain yang menambah kejanggalan adalah Windows 10 yang justru tidak terdampak. Hingga kini, penyebab perbedaan itu belum diketahui secara jelas, dan akar masalahnya memang belum dipahami publik secara menyeluruh.
Implikasi untuk pengguna dan langkah yang tersedia
Beralih dari TPM-only ke TPM+PIN terdengar seperti langkah yang masuk akal, tetapi peneliti menyatakan konfigurasi itu juga tidak membantu. Sampai sekarang, belum ada pihak di luar Nightmare-Eclipse yang menguji klaim tersebut pada TPM+PIN untuk mengonfirmasi atau membantahnya.
Karena itu, pencegahan akses fisik ke perangkat menjadi mitigasi paling kuat saat ini. Untuk lingkungan perusahaan yang masih memakai TPM-only lewat kebijakan, ancamannya bahkan dinilai setara dengan drive yang tidak terenkripsi sampai tambalan tersedia.
Microsoft belum mengeluarkan pengakuan publik atas YellowKey maupun menetapkan CVE saat pernyataan itu dibuat. Perusahaan hanya menyatakan berkomitmen menyelidiki laporan masalah keamanan, memperbarui perangkat yang terdampak secepat mungkin, dan mendukung coordinated vulnerability disclosure.
Perbaikan juga tidak akan sederhana karena bug berada di image WinRE, bukan di sistem operasi utama. Riwayat pembaruan partisi pemulihan pun tidak selalu mulus, sehingga perhatian kini tertuju pada seberapa cepat dan rapi Microsoft bisa menutup celah ini.
Source: www.xda-developers.com-
-
-
-
