Sebuah eksploit zero-day bernama YellowKey dilaporkan mampu menembus enkripsi disk BitLocker pada Windows 11 hanya dalam hitungan detik — cukup dengan menancapkan USB dan menahan tombol [Ctrl]. Yang lebih mengkhawatirkan, serangan ini menarget konfigurasi default Windows 11, artinya jutaan perangkat di seluruh dunia berpotensi rentan, termasuk milik pengguna dan organisasi di Indonesia.
Bagaimana YellowKey Bisa Menembus BitLocker dalam Detik?
Berdasarkan laporan Ars Technica, YellowKey dipublikasikan oleh peneliti yang menggunakan nama samaran Nightmare-Eclipse melalui GitHub. Eksploit ini menarget mode TPM-only — yakni konfigurasi default BitLocker di Windows 11 di mana kunci dekripsi hanya disimpan di TPM (Trusted Platform Module) tanpa memerlukan PIN tambahan saat booting.
Langkah serangan yang dilaporkan terbilang sederhana:
- Salin folder
FsTxkustom dari halaman eksploit Nightmare-Eclipse ke USB berformat NTFS atau FAT - Tancapkan USB tersebut ke perangkat yang dilindungi BitLocker
- Nyalakan perangkat, lalu segera tahan tombol [Ctrl]
- Masuk ke Windows Recovery Environment (WinRE)
Dalam alur normal, WinRE akan meminta kunci pemulihan BitLocker. Namun melalui YellowKey, mekanisme keamanan ini dilaporkan berhasil dilewati, dan prompt CMD.EXE terbuka dengan akses penuh ke seluruh isi drive — tanpa memasukkan satu pun kata sandi. Beberapa peneliti independen, termasuk Kevin Beaumont dan Will Dormann, dilaporkan telah memverifikasi bahwa eksploit ini bekerja sesuai deskripsi.
Mekanisme Teknis: Transactional NTFS yang Disalahgunakan
Inti dari eksploit ini adalah folder FsTx yang dirancang khusus. Menurut laporan Ars Technica, fstx.dll berkaitan dengan mekanisme Transactional NTFS (TxF) milik Microsoft — sebuah sistem yang memberikan sifat atomik pada operasi file, secara internal memanfaatkan Common Log File System.
Will Dormann, analis kerentanan senior dari Tharros Labs, dilaporkan menemukan bahwa fungsi FsTxFindSessions() dalam fstx.dll Windows secara eksplisit mereferensikan \System Volume Information\FsTx. Lebih jauh, direktori FsTx dalam YellowKey mengandung path menuju \??\C:\Windows\win.ini dan \??\X:\Windows\System32\winpeshl.ini — file yang mengontrol apa yang dijalankan WinRE saat booting.
Dalam sesi WinRE normal, winpeshl.ini dikonfigurasi untuk menjalankan recenv.exe. Namun melalui YellowKey, mekanisme Transactional NTFS pada USB dilaporkan mampu menghapus winpeshl.ini di drive X: — sehingga alih-alih masuk ke lingkungan pemulihan Windows, yang muncul justru prompt cmd.exe dengan BitLocker dalam kondisi terbuka.
Dormann juga menyoroti bahwa kemampuan direktori \System Volume Information\FsTx pada satu volume untuk memodifikasi isi volume lain merupakan kerentanan tersendiri yang independen dari bypass BitLocker itu sendiri. Perlu dicatat, mekanisme pasti mengapa folder FsTx kustom ini memicu bypass tersebut belum sepenuhnya terungkap hingga saat ini.
Dampak Nyata dan Langkah Mitigasi yang Bisa Dilakukan Sekarang
Berikut ringkasan fakta yang perlu dipahami:
| Aspek | Detail |
|---|---|
| Target | BitLocker Windows 11 konfigurasi default (mode TPM-only) |
| Prasyarat serangan | Akses fisik ke perangkat |
| Waktu yang dibutuhkan | Beberapa detik |
| Dampak | Akses penuh ke drive terenkripsi (baca, ubah, hapus) |
| Patch resmi | Belum tersedia; Microsoft menyatakan "sedang menyelidiki" |
Microsoft dilaporkan hanya merespons dengan pernyataan "sedang menyelidiki" dan tidak memberikan keterangan lebih lanjut mengenai jadwal perbaikan.
Langkah mitigasi yang direkomendasikan:
- Aktifkan BitLocker mode TPM + PIN: Ini adalah langkah paling efektif saat ini. Dengan konfigurasi ini, perangkat meminta PIN saat booting sehingga kunci tidak diserahkan TPM secara otomatis. Administrator IT dapat menerapkannya melalui Group Policy pada seluruh perangkat yang dikelola.
- Verifikasi konfigurasi BitLocker Anda: Jalankan perintah
manage-bde -statusdi Command Prompt. Jika tidak ada Startup PIN yang dikonfigurasi, perangkat kemungkinan besar menggunakan mode TPM-only dan rentan. - Aktifkan password BIOS: Kevin Beaumont dilaporkan merekomendasikan langkah ini, meski efektivitasnya terhadap eksploit spesifik ini belum terkonfirmasi sepenuhnya.
- Prosedur remote wipe: Pastikan prosedur penghapusan data jarak jauh sudah siap untuk perangkat yang hilang atau dicuri, terutama untuk perangkat kerja yang dibawa ke luar kantor.
YellowKey Bukan yang Pertama: Pola Serangan TPM-Only yang Terus Berulang
YellowKey bukanlah eksploit pertama yang menarget kelemahan konfigurasi TPM-only BitLocker. Pada Mei 2026, eksploit BitUnlocker dipublikasikan oleh Intrinsec, memanfaatkan CVE-2025-48804 yang telah ditambal Microsoft pada pembaruan bulanan Juli 2025. BitUnlocker memungkinkan penyerang dengan akses fisik mencapai drive BitLocker yang rentan dalam hitungan menit melalui serangan downgrade Secure Boot.
Pengujian BitUnlocker mencakup Windows 11 24H2 dengan Secure Boot dan TPM 2.0 aktif, pada perangkat dari berbagai produsen termasuk Dell, Lenovo, dan HP — baik prosesor Intel maupun AMD. Meski metodenya berbeda (BitUnlocker menggunakan downgrade Secure Boot, sementara YellowKey menyalahgunakan Transactional NTFS), keduanya bermuara pada kesimpulan yang sama: TPM menyerahkan kunci enkripsi tanpa verifikasi tambahan.
Sebagai respons terhadap tren ancaman fisik ini, HP mengumumkan HP TPM Guard pada acara HP Imagine 2026 tanggal 24 Maret 2026 — solusi hardware yang diklaim sebagai yang pertama di dunia untuk memblokir serangan penyadapan bus TPM fisik. Fitur ini dijadwalkan hadir mulai Juli 2026 pada PC komersial HP G2 tertentu melalui pembaruan firmware, dengan target utama segmen korporat dan pemerintahan. Perlu dicatat, HP TPM Guard dirancang untuk menangkal penyadapan bus TPM, bukan serangan berbasis WinRE seperti YellowKey — namun langkah ini mencerminkan meningkatnya kesadaran vendor terhadap ancaman akses fisik secara keseluruhan.
Bagi pengguna dan organisasi di Indonesia — terutama yang menggunakan laptop untuk bekerja di luar kantor atau menyimpan data sensitif — situasi ini menjadi pengingat penting bahwa enkripsi disk saja tidak cukup tanpa lapisan autentikasi tambahan. Selama Microsoft belum merilis patch resmi, mengaktifkan BitLocker dengan konfigurasi TPM + PIN adalah tindakan paling konkret yang bisa dilakukan hari ini.
