팔로우 
BitLocker는 장치가 분실되거나 도난당하거나 꺼져 있을 때도 데이터 보호를 위해 설계되었으며, 이러한 신뢰 모델을 우회하는 것은 즉각적인 주목을 받기 때문입니다. CVE-2026-45585 취약점은 YellowKey라고도 불리며, Microsoft는 이와 같은 물리적 접근을 통해 공격자가 BitLocker 보호를 우회하고 영향을 받는 시스템에서 암호화된 데이터에 접근할 수 있게 한다고 설명합니다. 이 문제는 CVSS 점수 6.8로 추적되며, x64 기반 시스템용 Windows 11 버전 24H2, 25H2, 26H1 및 Windows Server 2025(서버 코어 포함)에 영향을 미칩니다.
CVE-2026-45585 분석을 시작하는 방어자에게 가장 중요한 점은 이 취약점이 BitLocker 자체의 암호화에 있는 것은 아니라는 점입니다. Help Net Security는 네덜란드 NCSC를 인용하여 이 결함이 BitLocker를 보호하는 암호화가 아닌 복구 환경에 존재한다고 설명합니다. 공공 보도에 따르면 Nightmare Eclipse로 알려진 연구자가 이 노린재를 공개하고 개념 증명(proof-of-concept)을 발표했으며, 이는 Help Net Security 및 The Hacker News에 의해 쉽게 활용될 수 있습니다.
CVE-2026-45585 분석
CVE-2026-45585는 원격 공격 경로가 아닌 Windows 복구 환경을 통해 악용됩니다. The Hacker News에 따르면, 공격은 USB 드라이브 또는 EFI 파티션에 특별히 조작된 FsTx 파일을 배치하고, BitLocker가 활성화된 대상 Windows 시스템에 미디어를 연결하고, WinRE로 재부팅하고, CTRL 키를 눌러 제한 없는 셸을 트리거하는 것을 포함합니다. 성공하면, 공격자는 부트 전에 복구 시퀀스 중에 BitLocker로 보호된 볼륨에 접근할 수 있습니다.
실질적으로 CVE-2026-45585는 전통적인 악성 소프트웨어 드롭퍼가 아니라 신뢰할 수 있는 부트 전 행동을 악용하는 악의적인 복구 시퀀스 설정입니다. 따라서 CVE-2026-45585의 공개 세부 사항이 운영적으로 중요합니다. 공격자가 장치를 물리적으로 조작할 수 있는 경우 도달 가능한 USB 포트 또는 EFI 경로와 재부팅 가능성이 있는 모든 영향을 받은 기계가 표적이 될 수 있습니다. 공개된 CVE-2026-45585 PoC는 이미 복제에 대한 장벽을 낮췄습니다.
모니터링 관점에서 보면, CVE-2026-45585 탐지는 네트워크에서 발생하는 취약점보다 더 어려운 도전입니다. 이는 로컬 및 부트 전 공격이기 때문입니다. 인용된 보고서에는 공급업체가 발행한 CVE-2026-45585 IOCs가 없으므로, CVE-2026-45585 노출을 탐지하는 가장 현실적인 방법은 자산 검토를 통해서입니다: 영향을 받는 Windows 11 및 Windows Server 2025 시스템을 식별하고, TPM만으로 BitLocker 보호에 의존하는지 여부를 결정하고, Microsoft의 임시 완화가 WinRE 이미지에 적용되었는지 확인합니다.
노출 관점에서 CVE-2026-45585는 도난 또는 일시적 물리적 접근 이후 오프라인 접근을 방지하기 위해 BitLocker에 의존하는 조직에 영향을 미칩니다. 결함은 암호화를 자체적으로 깨는 것이 아니라 보안 기능을 우회하기 때문에 주된 위험은 공격자가 정당한 사용자가 장치 제어를 되찾기 전에 복구 워크플로에 도달할 수 있을 때 기밀성 상실입니다.
CVE-2026-45585 완화
Microsoft의 현재 CVE-2026-45585 완화 지침은 두 가지 주요 경로를 제공합니다. 첫 번째는 장착된 WinRE 이미지에서 autofstx.exe를 Session Manager BootExecute REG_MULTI_SZ 값에서 제거한 다음 오프라인 레지스트리 변경 사항을 저장하고, 업데이트된 이미지를 해제 및 커밋하며, WinRE에 대한 BitLocker 신뢰를 재수립하는 것입니다. The Hacker News에 따르면 Microsoft는 나중에 이 워크플로를 WinRE를 장착하고, 오프라인 SYSTEM 하이브를 편집하고, 항목을 제거하고, WinRE를 다시 봉인하여 BitLocker 신뢰가 유지되도록 자동화하는 스크립트를 공적 정보와 함께 제공하였습니다.
두 번째 완화 경로는 TPM만으로 보호하는 기기를 이상하게 하고, 시작 시 TPM+PIN을 요구하는 것입니다. Microsoft는 이미 암호화된 시스템에서 PowerShell, 명령줄 또는 제어판을 통해 이것을 할 수 있다고 말합니다. 아직 암호화되지 않은 시스템의 경우 시작 시 추가 인증을 요구하도록 그룹 정책 또는 Intune을 통해 설정하고 TPM과 함께 시작 PIN을 구성하도록 관리자에게 권장됩니다. Help Net Security는 연구원들이 첫 번째 완화가 WinRE 시작 시 FsTx 자동 복구 유틸리티가 자동으로 시작되는 것을 방지하기 때문에 효과적이라고 믿고 있음을 지적합니다. 다만 한 연구자는 TPM+PIN에 대한 별도의 우회 방법을 현재 보류 중이라고 주장했습니다.
FAQ
CVE-2026-45585는 무엇이며 어떻게 작동합니까?
CVE-2026-45585는 Windows에서 YellowKey라고도 불리는 BitLocker 보안 기능 우회입니다. 이는 공격자가 물리적 접근을 통해 신뢰할 수 있는 Windows 복구 환경의 행동을 악용하여 제한 없는 셸을 트리거하고 부트 전에 복구 중 암호화된 볼륨에 접근할 수 있도록 하는 방식입니다.
CVE-2026-45585는 언제 처음 발견되었습니까?
인용된 두 보고서는 비공개 발견 날짜에 대해 공개하지 않습니다. 공개적으로 Help Net Security는 Microsoft의 완화 조치 발표 약 일주일 전에 이 제로 데이가 공개되었으며, 두 보고서는 Microsoft의 완화 조치 발표가 2026년 5월 20일에 이루어졌으며, Help Net Security에 의해 2026년 5월 21일에 추가 스크립트 업데이트가 언급되었습니다.
CVE-2026-45585가 시스템에 미치는 영향은 무엇입니까?
주된 영향은 BitLocker로 보호된 데이터에 대한 무단 접근입니다. 성공적인 공격은 물리적 접근을 통해 암호화된 드라이브 주변의 보호를 우회하고 보호되어야 할 데이터를 읽을 수 있게 합니다.
CVE-2026-45585는 2026년에도 여전히 영향을 미칠 수 있습니까?
예. 2026년에도 Microsoft의 완화 조치를 적용하지 않았고 여전히 취약한 복구 행동에 의존하는 영향을 받는 Windows 11 및 Windows Server 2025 빌드를 실행하는 시스템은 여전히 노출될 수 있으며, 특히 물리적 접근을 엄격히 통제할 수 없는 경우 그렇습니다.
CVE-2026-45585로부터 자신을 보호하려면 어떻게 해야 합니까?
autofstx.exe를 오프라인 BootExecute 설정에서 제거하고 BitLocker 신뢰를 다시 봉인하여 Microsoft의 WinRE 완화를 적용하거나, TPM 전용 시작 보호 대신 TPM+PIN을 요구하십시오. 신규 배포의 경우 정책을 통해 시작 시 추가 인증을 활성화하여 BitLocker가 약한 기본 경로에만 의존하지 않도록 합니다.
