Microsoft BitLocker Korumalı Sürücüler, USB Bellek ile Açılabiliyor: YellowKey Açığı
Yazılım güvenliği araştırmacısı Chaotic Eclipse, geçtiğimiz ay iki yeni sıfırıncı gün açığını duyurdu. Bu açıklar, Windows Defender’ın sistem yöneticisi ayrıcalıkları sunmasına neden oluyor. Duyurularının ardından Microsoft’un güvenlik ekibi tarafından dikkate alınmadığı iddialarıyla birlikte, Eclipse bu kez YellowKey adındaki ciddi bir BitLocker açığını paylaştı. Bu açık, kilitli bir sürücüye tam erişim sağlıyor. Ayrıca, GreenPlasma adındaki ikinci açık, tam bir kanıt konsepti (PoC) sunmuyor ancak yerel ayrıcalık yükseltmesi yaparak sistem seviyesinde erişim sağlıyor.
YellowKey, yalnızca bazı dosyaların bir USB belleğe kopyalanması ve ardından Windows Kurtarma Ortamı’na yeniden başlatılması ile tetikleniyor. Kendi testlerimizde bu yöntemin etkili olduğunu gördük; açık, kullanıldıktan sonra USB bellekteki dosyaların kaybolmasıyla bir arka kapı özelliği taşıyor.
Bu süreç oldukça basit: Herhangi bir USB bellek alın, “System Volume Information” klasörüne yazma izni alın ve “FsTx” klasörünü ve içeriğini kopyalayın. Ardından Shift tuşuna basarak Yeniden Başlat seçeneğini seçin, fakat Ctrl tuşunu basılı tutun. Bilgisayar yeniden başlatıldığında, herhangi bir menü göstermeden, daha önce BitLocker ile kilitlenmiş sürücüye tam erişim sağlayan bir komut istemine yönlendirilirsiniz.
Bu durum oldukça tehlikeli. BitLocker’ın sürücüleri şifrelemek için güvenilir olmadığı açıkça görülüyor. Ayrıca, açığın nasıl çalıştığı ve dosyaların kaybolması, kurumsal ve politik açıdan rahatsız edici soruları gündeme getiriyor. YellowKey, Windows Server 2022 ve 2025’te de çalıştığı bildiriliyor, ancak Windows 10’da etkili değil.
BitLocker, dünya genelinde milyonlarca makineyi koruyor ve özellikle Windows 11 ile varsayılan olarak etkinleştiriliyor. Ancak, bir sürücüyü Alice adlı bir makineden alıp Bob adlı başka bir makinede açmak mümkün değil, çünkü şifreleme anahtarları Alice’in TPM’inde bulunuyor. Yine de, bir dizüstü bilgisayarı, mini-PC’yi veya masaüstünü çalmak oldukça kolay.
GreenPlasma, CTFMon sürecini manipüle ederek bir saldırgana tam sistem erişimi sağlamayı amaçlıyor. Bu, normal erişim kontrollerini atlayarak herhangi bir Windows nesne yöneticisi bölümüne yazma izni olan bir bellek kesimi yerleştiriyor. Bu durum, sunucu ortamlarında oldukça tehlikeli, çünkü herhangi bir normal kullanıcı sunucuya erişim sağlayabilir ve diğer kullanıcıların verilerine ulaşabilir.
Yazının yazıldığı sırada, Microsoft’un YellowKey veya GreenPlasma hakkında resmi bir yanıtı yok. BlueHammer açığı zaten kapatıldı, ancak RedSun’un Microsoft tarafından sessizce yamanıp yamandığına dair resmi bir açıklama yapılmadı.
