Son günlerde internette dolaşan sıfır gün açığı (zero-day exploit), fiziksel erişimi olan kişilerin Windows 11 sistemlerindeki varsayılan BitLocker korumasını saniyeler içinde aşarak şifrelenmiş sürücüye tam erişim sağlamasına olanak tanıyor.
YellowKey olarak adlandırılan bu açık, geçtiğimiz hafta Nightmare-Eclipse takma adlı bir araştırmacı tarafından yayınlandı. Bu açık, Microsoft'un disk içeriğini şifreleme anahtarı olmadan kimsenin erişimine kapalı tutan BitLocker korumasını, Güvenilir Platform Modülü (TPM) adı verilen donanıma kaydedilen anahtarlara rağmen güvenilir bir şekilde atlatıyor. BitLocker, hükümetlerle sözleşme yapan birçok kuruluş dahil olmak üzere birçok organizasyon için zorunlu bir koruma katmanıdır.
Bir Disk Biriminin Diğerini Manipüle Etmesi
YellowKey açığının temelinde özel olarak hazırlanmış bir FsTx klasörü bulunuyor. Bu klasörle ilgili çevrimiçi dokümantasyon bulmak oldukça zor. Açıklamalara göre, fstx.dll dosyasının ilişkili olduğu dizin, Microsoft'un "transactional NTFS" olarak adlandırdığı ve geliştiricilere tek bir dosya, birden fazla dosya veya birden fazla kaynaktan oluşan işlemlerde dosya işlemleri için "işlemsel atomiklik" sağlayan bir yapıyı içeriyor.
Açığı kullanarak korumayı aşma adımları oldukça basit:
- Özel FsTx klasörünü Nightmare-Eclipse'in açık sayfasından NTFS veya FAT formatlı bir USB belleğe kopyalayın.
- USB belleği BitLocker ile korunmuş cihaza takın.
- Cihazı başlatın ve hemen [Ctrl] tuşunu basılı tutun.
- Windows kurtarma (recovery) ekranına girin.
Üçüncü adımı gerçekleştirmek için en az iki yol bulunuyor. Birincisi, Windows'a önyükleme yapıp [Shift] tuşunu basılı tutarak güç simgesine tıklayıp yeniden başlatmak. Diğeri ise cihazı açıp Windows önyüklenmeye başladığı anda yeniden başlatmak.
Her iki durumda da bir komut istemi (CMD.EXE) penceresi açılıyor. Bu pencere, tüm sürücü içeriğine tam erişim sağlayarak bir saldırganın dosyaları kopyalamasına, değiştirmesine veya silmesine imkan tanıyor. Normal bir Windows Kurtarma akışında, saldırganın bir BitLocker kurtarma anahtarı girmesi gerekir. Ancak YellowKey açığı, bu güvenlik önlemini bir şekilde atlıyor. Birçok araştırmacı, bu açığın tarif edildiği gibi çalıştığını doğruladı.
Özel FsTx klasöründeki tam olarak neyin bu atlatmayı sağladığı belirsizliğini koruyor. Ancak uzmanlar, bunun işlemsel NTFS ile ilgili olduğunu ve bunun da temelinde komut günlüğü dosya sistemini (command-log file system) kullandığını belirtiyor. Windows'un fstx.dll dosyasına bakıldığında, FsTxFindSessions() fonksiyonunda açıkça "System Volume InformationFsTx" araması yapan kodlar görülebiliyor.
YellowKey açığında kullanılan bu FsTx dizininin içeriği, RecoverySimulation.ini ile ilgili herhangi bir dize içermiyor. Bununla birlikte, ??C:Windowswin.ini ve ??X:WindowsSystem32winpeshl.ini gibi dosyaları gösteriyor. Özellikle ??X:WindowsSystem32winpeshl.ini, Windows Kurtarma'nın (WinRE) başladığında ne yapacağını kontrol eden dosyadır.
Bu durumla ilgili olarak Microsoft'tan bir temsilci, konuyla ilgili soruları yanıtlamayı reddederek yalnızca şirketin konuyu araştırdığını belirtti.
Kullanıcıların bilmesi gereken önemli bir nokta şu ki, şu anda Windows 11'deki BitLocker beklenen korumayı sağlamıyor. Bu da, çalınan veya kaybolan cihazlardaki verilere BitLocker etkin olsa bile erişilebileceği anlamına geliyor.
Bu atlatma, yalnızca BitLocker'ın anahtarları TPM'de depolayan varsayılan Windows 11 modunda çalışıyor. TPM'e özel bu yapılandırma, uzun süredir birçok güvenlik uzmanı tarafından yetersiz görülüyordu. Uzmanlar, anahtarın TPM'den alınmadan önce bir PIN gerektirmesini tavsiye ediyor. Bazı uzmanlar, YellowKey saldırılarını önlemek için BIOS şifresi kilitlemeyi etkinleştirmeyi de öneriyor. BIOS şifresi kilitleme iyi bir uygulama olsa da, bu belirli açık karşısında ne kadar koruma sağladığı henüz net değil.
