YellowKey 익스플로잇(CVE-2026-45585)은 USB에 특정 파일을 복사하고 Windows 복구 환경(WinRE)으로 재부팅하는 과정만으로 BitLocker로 암호화된 드라이브에 키 입력 없이 완전 접근이 가능해지는 취약점이다. 익스플로잇 실행 후 USB의 관련 파일은 자동으로 삭제되며, 단순한 버그가 아니라 의도적 백도어의 특징을 가진다.
공격 절차는 다소 단순하게 구성된다. 다용도의 USB 메모리를 준비하고 System Volume Information 폴더에 쓰기 권한을 얻은 뒤 FsTx 폴더와 그 내용물을 복사한다. 그다음 Shift 클릭으로 Windows를 WinRE로 재시작하며 이때 컨트롤 키를 누르고 있으면 된다. 별도의 메뉴나 인증 없이 관리자인 명령 프롬프터가 열리면서 BitLocker로 잠긴 드라이브에 완전히 접근할 수 있게 된다.
익스플로잇의 핵심은 USB에 남겨진 특정 파일이 런타임 중 제거되도록 설계되었다는 점이다. 로그 파일과 관련 데이터는 CLFS(공통 로그 파일 시스템) 형식으로 남겨지며, BLF 헤더와FsTx 관련 경로가 포함된다. Windows의 시스템 로그와 NTFS 저널 등 영구 트랜잭션 로그가 이 양식에 의존하는 부분이므로, 시스템 차원의 트랜잭션 컨테이너를 악용하는 구조가 드러난다. FsTxLogContainer00000000000000000001 등 경로가 WinRE 부팅 시점의 활성 트랜잭션 검색에 관여한다.
Windows는 이 경로를 통해 WinRE 부팅 환경으로 진입하며, USB가 드롭한 파일의 위치를 바탕으로 커널에서 트랜잭션을 실행하는 듯한 동작을 보인다. 구체적으로는 winpeshl.ini, ??\C:\Windows\Winpeshl.ini 등의 경로가 구성 파일 트랜잭션 수정 대상이 된다. WinRE의 셸로 실행되는 프로그램 제어를 시작 프로그램 바꾸기로 바꿀 수 있으며, cmd.exe가 실행되도록 유도한다.
사실상 공격 대상은 커널이 아니라 구성 파일 트랜잭션 수정으로, BitLocker의 보안 경계가 무력화되는 상황으로 이어진다. BitLocker의 신뢰성에 대한 의존이 높았던 기업 및 정부 환경에서도 취약점이 보고되었으나, 보안 공개 절차의 책임 있는 공개가 지켜지지 않았다는 주장과 함께 신뢰 상실로 이어진 사례로 남게 되었다.
