Teknoloji dünyasında bazen en beklemediğimiz anda ortaya çıkan güvenlik açıkları, kullanıcıları endişelendirebiliyor. Güvenlik araştırmacısı Chaotic Eclipse'in (Nightmare-Eclipse olarak da biliniyor) ortaya çıkardığı yeni bir açık, Microsoft'un disk şifreleme teknolojisi BitLocker'ı hedef alıyor. 'YellowKey' adı verilen bu açık, basit birkaç adımla BitLocker ile korunan sürücülere erişim imkanı tanıyor.
Daha önce Windows Defender'ın sistem yöneticisi yetkilerini ele geçirmesini sağlayan BlueHammer ve RedSun gibi iki sıfır gün açığını kamuoyuna duyuran Eclipse, bu kez BitLocker'ın güvenlik duvarını aşan YellowKey ile gündemde. Bu açığın, sürücüleri kilitleyen şifreleme anahtarlarını sormadan tam erişim sağladığı belirtiliyor.
YellowKey'in çalışma prensibi oldukça basit görünüyor. Açığa göre, bir USB belleğe belirli dosyaların kopyalanması ve ardından bilgisayarın Windows Kurtarma Ortamı'na yeniden başlatılması yeterli oluyor. Kurtarma ekranında belirli tuş kombinasyonları kullanılarak, şifre sorulmadan doğrudan komut satırı arayüzüne erişim sağlanıyor ve bu sayede BitLocker ile korunmuş sürücünün tüm içeriğine ulaşmak mümkün hale geliyor. Açığın en dikkat çekici yönlerinden biri ise, işlem tamamlandıktan sonra USB bellekteki ilgili dosyaların kendiliğinden siliniyor olması.
Bu durum, özellikle hassas veriler barındıran dizüstü bilgisayarlar, masaüstü bilgisayarlar veya sunucular için ciddi bir risk teşkil ediyor. BitLocker, milyonlarca kullanıcının verisini korumak için dünya genelinde yaygın olarak kullanılıyor ve Windows 11 gibi işletim sistemlerinde varsayılan olarak aktif olması, açığın potansiyel etkisini daha da artırıyor.
Araştırmacı Eclipse, yaptığı açıklamalarda, şifre ve TPM (Güvenilir Platform Modülü) kombinasyonunun bile bu açık karşısında yetersiz kalabileceğini ve daha gelişmiş bir varyant üzerinde çalıştığını belirtmiş. Eclipse, bu açığı büyük bir meblağ karşılığında satabileceğini ancak Microsoft'a karşı olan kararlılığı nedeniyle bunu yapmadığını da eklemiş.
YellowKey'in yanı sıra, yine Eclipse tarafından ortaya çıkarılan GreenPlasma adlı başka bir açığın da yerel ayrıcalık yükseltmesi yaparak sistem düzeyinde erişim sağladığı iddia ediliyor. Bu açığın tam bir kanıtlama (PoC) videosu henüz yayımlanmamış olsa da, benzer bir etki yaratması bekleniyor.
Şu an itibarıyla Microsoft'tan YellowKey veya GreenPlasma hakkında resmi bir açıklama gelmedi. Daha önceki BlueHammer açığı için bir yama yayınlandığı ve RedSun'ın da sessizce düzeltildiği belirtiliyor. Ancak bu yeni açığın ne zaman ve nasıl giderileceği konusunda henüz bir bilgi bulunmuyor.
