Apa itu YellowKey dan apa yang ditargetkannya?

YellowKey adalah kerentanan zero-day Windows yang belum ditambal yang menargetkan BitLocker, fitur enkripsi disk penuh yang tertanam dalam Windows 10, 11, dan Windows Server 2022 dan 2025. Ia mengeksploitasi kelemahan dalam Windows Recovery Environment untuk memungkinkan penyerang dengan akses fisik melewati perlindungan BitLocker dan membaca isi drive yang terenkripsi.

Apa yang dilakukan kerentanan GreenPlasma?

GreenPlasma menargetkan CTFMON, sebuah proses latar belakang Windows yang mengelola input teks, pengenalan tulisan tangan, dan pengaturan bahasa. Ia memungkinkan eskalasi hak istimewa lokal, yang memungkinkan penyerang yang sudah memiliki pijakan pada suatu sistem untuk meningkatkan izin mereka ke akses tingkat administrator atau SYSTEM.

Apakah Microsoft telah merilis tambalan untuk YellowKey dan GreenPlasma?

Tidak, pada saat penulisan artikel ini, Microsoft belum merilis tambalan untuk salah satu kerentanan tersebut. Kode exploit proof-of-concept sudah tersedia secara publik, sehingga menurunkan hambatan eksploitasi oleh aktor ancaman yang kurang canggih.

Apakah YellowKey memerlukan akses fisik untuk dieksploitasi?

Ya, YellowKey mengharuskan penyerang memiliki akses fisik ke mesin target untuk melewati perlindungan BitLocker. Skenario ancaman yang realistis mencakup laptop yang dicuri, perangkat di ruang kantor bersama, dan mesin yang disita di perbatasan.

Bagaimana GreenPlasma dapat digunakan dalam serangan dunia nyata?

GreenPlasma dapat dirantai dengan teknik serangan lainnya, seperti email phishing yang mengirimkan muatan awal dengan hak istimewa rendah, diikuti oleh eksploit GreenPlasma untuk mendapatkan kontrol sistem penuh. Lingkungan korporat, lembaga pemerintah, dan individu yang menangani file sensitif semuanya dianggap berisiko.

YellowKey dan GreenPlasma: Dua Zero-Day Windows Menyerang BitLocker

Para peneliti keamanan telah mengungkapkan secara publik dua kerentanan zero-day Windows yang belum ditambal, bernama YellowKey dan GreenPlasma, yang menargetkan enkripsi BitLocker dan kerangka input CTFMON masing-masing. Kode exploit proof-of-concept telah dirilis, yang berarti kerentanan zero-day BitLocker Windows ini bukan sekadar teoritis. Bagi jutaan pengguna dan organisasi yang mengandalkan BitLocker sebagai fondasi strategi perlindungan data mereka, pengungkapan ini merupakan peringatan serius.

Apa yang Sebenarnya Dilakukan YellowKey dan GreenPlasma

YellowKey adalah yang paling mengkhawatirkan di antara keduanya. Ia menargetkan BitLocker, fitur enkripsi disk penuh yang tertanam dalam Windows 10 dan 11 serta Windows Server 2022 dan 2025. Dengan mengeksploitasi kelemahan dalam Windows Recovery Environment, kerentanan ini memungkinkan penyerang yang memiliki akses fisik ke sebuah mesin untuk melewati perlindungan BitLocker default dan mendapatkan akses ke isi drive yang terenkripsi. Secara praktis, laptop yang dicuri yang sebelumnya dianggap aman di balik enkripsi BitLocker dapat dibaca datanya tanpa PIN atau kata sandi yang benar.

GreenPlasma menargetkan CTFMON, sebuah proses latar belakang Windows yang mengelola input teks, pengenalan tulisan tangan, dan pengaturan bahasa. Kerentanan ini memungkinkan eskalasi hak istimewa lokal, yang berarti penyerang yang telah mendapatkan pijakan pada suatu sistem dapat meningkatkan izin mereka ke tingkat yang lebih tinggi, berpotensi mencapai akses tingkat administrator atau SYSTEM. Kedua kerentanan ini bersama-sama merupakan kombinasi yang berbahaya: satu membobol tembok yang melindungi data Anda saat diam, sementara yang lain memungkinkan kompromi sistem yang lebih dalam setelah penyerang masuk.

Pada saat penulisan, Microsoft belum merilis tambalan untuk salah satu kerentanan tersebut. Kode proof-of-concept tersedia secara publik, yang secara signifikan menurunkan hambatan eksploitasi oleh aktor ancaman yang kurang canggih.

Siapa yang Berisiko dan Data Apa yang Terekspos

Siapa pun yang menjalankan sistem Windows 11 atau Windows Server 2022 dan 2025 dengan BitLocker diaktifkan berpotensi terpengaruh oleh YellowKey. Persyaratan akses fisik memang membatasi permukaan serangan dibandingkan dengan eksploit jarak jauh sepenuhnya, tetapi kualifikasi tersebut tidak boleh memberikan banyak ketenangan. Laptop yang digunakan karyawan di lingkungan kerja hibrida, perangkat yang disimpan di ruang kantor bersama, dan mesin yang disita atau diperiksa di perbatasan semuanya merupakan skenario ancaman yang realistis.

Untuk GreenPlasma, profil risikonya lebih luas dalam beberapa hal. Kerentanan eskalasi hak istimewa lokal sering kali dirantai dengan teknik serangan lainnya. Email phishing yang mengirimkan muatan awal dengan hak istimewa rendah, misalnya, dapat diikuti dengan eksploit GreenPlasma untuk mendapatkan kontrol sistem penuh. Lingkungan korporat, lembaga pemerintah, dan individu yang menangani file sensitif semuanya berada dalam ancaman.

Data yang terekspos berkisar dari dokumen pribadi dan catatan keuangan hingga kekayaan intelektual perusahaan dan kredensial yang tersimpan di disk. Organisasi yang beroperasi di bawah kerangka kepatuhan seperti HIPAA, GDPR, atau CMMC perlu menilai apakah kerentanan ini memengaruhi kewajiban regulasi mereka.

Mengapa Pengguna BitLocker Tidak Dapat Mengandalkan Enkripsi Disk Semata

Pengungkapan YellowKey menggambarkan keterbatasan mendasar yang sering diabaikan oleh pengguna yang sadar privasi: enkripsi melindungi data hanya selama mekanisme enkripsi itu sendiri tidak terkompromikan. BitLocker dirancang untuk melindungi dari serangan offline, terutama skenario di mana drive dilepas dan dibaca di mesin lain. BitLocker tidak dirancang untuk menjadi benteng yang tidak dapat ditembus terhadap penyerang canggih yang bersenjatakan eksploit zero-day yang menargetkan proses yang mengelola pembukaan kunci drive.

Inilah argumen inti untuk defense-in-depth. Mengandalkan satu kontrol keamanan, tidak peduli seberapa terpercaya, menciptakan satu titik kegagalan. Ketika kontrol tersebut dilewati, tidak ada lagi yang tersisa antara penyerang dan data Anda. Logika yang sama berlaku untuk ancaman lapisan jaringan: mengenkripsi lalu lintas dalam transit melalui VPN tidak melindungi Anda jika endpoint Anda sudah terkompromikan, dan mengamankan endpoint Anda tidak melindungi data yang mengalir tanpa enkripsi melalui jaringan yang tidak terpercaya.

Munculnya dua kerentanan ini juga berfungsi sebagai pengingat bahwa aktor ancaman tidak selalu memerlukan infrastruktur canggih untuk menimbulkan kerugian serius. Sebagaimana didokumentasikan dalam kampanye seperti situs pemerintah palsu yang menargetkan warga di seluruh dunia, rekayasa sosial dan alat komoditas sering kali digabungkan dengan eksploit yang tersedia secara publik dengan dampak yang menghancurkan. PoC publik untuk bypass BitLocker secara signifikan menurunkan persyaratan keahlian.

Langkah Defense-in-Depth: Patching, VPN, dan Keamanan Berlapis

Hingga Microsoft merilis tambalan resmi, pengguna dan administrator sebaiknya mengambil langkah-langkah berikut.

Pantau pembaruan keamanan Microsoft. Pertahankan Windows Update tetap aktif dan periksa tambalan out-of-band, terutama mengingat ketersediaan publik kode PoC. Ketika tambalan tiba, prioritaskan penerapannya.

Aktifkan BitLocker dengan PIN. Konfigurasi BitLocker default yang hanya menggunakan TPM lebih rentan terhadap kelas serangan ini. Mengonfigurasi BitLocker untuk memerlukan PIN sebelum booting menambahkan lapisan hambatan yang meningkatkan standar bagi penyerang fisik.

Batasi akses fisik. Untuk mesin bernilai tinggi, kontrol keamanan fisik sangat penting. Ruang server yang terkunci, kunci kabel untuk laptop, dan kebijakan yang jelas tentang perangkat yang ditinggalkan tanpa pengawasan semuanya mengurangi permukaan serangan YellowKey.

Lapisi kontrol keamanan Anda. Enkripsi disk adalah satu lapisan, bukan strategi lengkap. Kombinasikan dengan alat deteksi dan respons endpoint, enkripsi tingkat jaringan untuk data dalam transit, autentikasi yang kuat, dan segmentasi jaringan. VPN memastikan bahwa bahkan jika penyerang berpindah dari endpoint yang terkompromikan, data keluar tidak terekspos dalam teks biasa di jaringan.

Audit akun yang memiliki hak istimewa. Mengingat risiko eskalasi hak istimewa GreenPlasma, tinjau akun mana yang memiliki hak administrator lokal pada endpoint. Mengurangi hak istimewa yang tidak perlu membatasi radius ledakan jika eksploit digunakan.

Apa Artinya Ini Bagi Anda

Pengungkapan YellowKey dan GreenPlasma adalah pengingat konkret bahwa tidak ada satu alat keamanan pun yang memberikan perlindungan lengkap. Jika seluruh strategi keamanan data Anda bertumpu pada BitLocker, kini saatnya mengaudit tumpukan yang lebih luas. Pertimbangkan apa yang terjadi jika BitLocker dilewati: apakah ada lapisan lain yang melindungi file paling sensitif Anda? Apakah lalu lintas jaringan Anda dienkripsi secara independen dari disk Anda? Apakah kredensial dan kunci pemulihan Anda disimpan dengan aman?

Langkah proaktif lebih berarti sebelum insiden terjadi daripada setelahnya. Tinjau kontrol keamanan Anda saat ini, terapkan mitigasi yang tersedia, dan jadikan pengungkapan ini sebagai kesempatan untuk memperkuat lapisan-lapisan yang tidak dapat dicakup oleh BitLocker sendiri.