Windows BitLocker, USB로 우회 가능? 심각한 보안 취약점 발견!

해당 취약점은 USB 드라이브에 특정 파일을 복사한 후, Windows 복구 환경(WinRE)에서 부팅하여 BitLocker를 우회하는 방식으로 작동한다. 특히, RecoverySimulation.ini 파일의 존재 여부에 따라 테스트 모드가 활성화되고, BitLocker 재잠금이 우회되는 점이 핵심이다. 이는 WinRE 이미지 내에 존재하는 컴포넌트의 취약점을 악용한 것으로, 공격자는 이를 통해 암호화된 볼륨에 무단 접근할 수 있다.

취약점의 원인이 되는 컴포넌트가 일반 Windows 설치 환경에는 존재하지 않고, WinRE 이미지에만 존재한다는 점이 의혹을 증폭시킨다. Microsoft는 해당 컴포넌트를 WinRE에 포함시킨 이유에 대해 명확한 설명을 제공하지 않고 있다. 커뮤니티에서는 이 점을 근거로, 해당 취약점이 의도적으로 삽입된 백도어일 가능성을 제기하며, 보안 전문가들의 추가적인 분석을 요구하고 있다.

취약점은 NTFS 트랜잭션 재생을 통해 트리거될 수 있다는 분석이 제기되었다. USB 드라이브의 파일은 NTFS 트랜잭션을 유발하여, 복구 모드에서 설정 파일을 변경하고, 테스트 모드를 활성화하는 역할을 한다. 이로 인해 BitLocker가 재잠금되지 않고, 관리자 권한의 cmd.exe가 실행되어, 암호화된 드라이브에 대한 접근 권한을 획득하게 된다. 이는 데이터 격리 아키텍처(Data Isolation Architecture)의 취약성을 보여주는 사례로 볼 수 있다.