Microsoft BitLocker – YellowKey sıfır gün istismarı

 (tomshardware.com)
1 puan yazan GN⁺ 1 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Chaotic Eclipse'in YellowKey aracı, yalnızca USB dosyaları ve Windows Kurtarma Ortamı ile BitLocker kilitli sürücülere erişim sağlamayı mümkün kılıyor
  • Tom's Hardware testinde System Volume Information içine FsTx dosyalarının kopyalanması ve Shift+Restart sonrasında Control tuşuna basılı tutulması adımlarının çalıştığı görüldü
  • Yeniden başlatmanın ardından herhangi bir soru veya menü olmadan yükseltilmiş yetkili komut satırına girildi ve BitLocker ile kilitli sürücüye anahtar girişi olmadan tam erişim sağlandı
  • Alice'in sürücüsünü Bob'un cihazına taşıyıp açma yöntemi zor görünüyor; ancak cihazın kendisi çalınırsa hedef TPM doğrudan kullanılabildiği için risk büyüyor
  • SecurityOnline'a göre YellowKey, Windows Server 2022·2025 üzerinde de çalışıyor ancak Windows 10'da çalışmıyor

YellowKey'in saldırı süreci ve gözlemlenen davranış

  • Chaotic Eclipse, BitLocker ile kilitlenmiş sürücülere erişebilen sıfır gün açığı YellowKey'i yayımladı
  • Tom's Hardware, bir USB belleğe bazı dosyalar kopyalandıktan sonra Windows Recovery Environment'a yeniden başlatma prosedürünün gerçekten çalıştığını doğruladı
  • Süreç, System Volume Information için yazma erişimi elde edip içine FsTx klasörünü ve içeriğini kopyaladıktan sonra Shift+Restart ile kurtarma ortamına girip Control tuşunu basılı tutma yöntemine dayanıyor
  • Yeniden başlatma sonrasında hiçbir soru veya menü olmadan yükseltilmiş yetkili komut satırına girildi ve BitLocker ile kilitli sürücüye anahtar girişi olmadan tam erişim sağlandı
  • Saldırıda kullanılan dosyalar bir kez kullanıldıktan sonra USB bellekten kayboldu ve Tom's Hardware bunu arka kapı benzeri bir davranış olarak değerlendirdi

Etki alanı ve fiziksel hırsızlık riski

  • YellowKey, BitLocker'a sürücü şifreleme yöntemi olarak güvenen ortamlar için anlık bir risk oluşturuyor
  • BitLocker; ev, şirket ve kamu ortamlarındaki milyonlarca cihazı koruyor ve özellikle Windows 11'de varsayılan olarak etkin geliyor
  • Tom's Hardware'in doğruladığı kadarıyla, Alice'in cihazındaki sürücüyü Bob'un cihazına taşıyıp açmak mümkün görünmüyor; çünkü şifreleme anahtarı Alice'in cihazındaki TPM içinde bulunuyor
  • Ancak dizüstü bilgisayar, mini PC veya masaüstü bilgisayarın kendisi çalınırsa saldırgan hedef cihazın TPM'ini doğrudan kullanabildiği için fiziksel hırsızlık riski artıyor
  • SecurityOnline haberine göre YellowKey, Windows Server 2022 ve 2025'te de çalışıyor ancak Windows 10'da çalışmıyor

TPM·PIN yapılandırması ve yayımlanma gerekçesi

  • Eclipse, tam TPM-and-PIN yapılandırmasının da yardımcı olmadığını belirtti
  • Bu yapılandırmaya yönelik bir varyanta da sahip olduğunu, ancak onun kavram kanıtını (PoC) yayımlamadığını söyledi
  • Eclipse, açığın iyi gizlenmiş olduğunu ve satılsa büyük para getirebileceğini, ancak Microsoft'a yönelik tavrı nedeniyle bunu yayımladığını ifade etti
  • Chaotic Eclipse, geçen ay da Windows Defender'ın sistem yöneticisi yetkisi vermesine yol açan BlueHammer ve RedSun sıfır gün açıklarını yayımlamıştı
  • O dönemdeki yayımlama, Microsoft güvenlik ekibinin güvenlik açığı bildirimini reddettiği iddiasının ardından yapılmıştı

Birlikte yayımlanan GreenPlasma

  • Chaotic Eclipse'in birlikte yayımladığı GreenPlasma, tam bir PoC içermese de yerel yetki yükseltmeyle sistem düzeyinde erişim sağlayabildiğini öne sürüyor
  • GreenPlasma, CTFMon sürecini manipüle ederek değiştirilmiş bellek bölüm nesnesini Windows Object Manager içindeki belirli bir bölüme yerleştiriyor
  • Bu bölüm, SYSTEM kullanıcısının yazma iznine sahip olduğu bir konum ve normal erişim denetimini aştığı belirtiliyor
  • Ardından istismar kodu normalde erişmemesi gereken bellek alanlarına erişebiliyor ve bunun üzerinden tam sistem erişim yetkisi elde edebiliyor
  • Masaüstünde herhangi bir program tam erişim yetkisi kazanabiliyor; sunucuda ise sıradan bir kullanıcı sunucuyu ve diğer kullanıcıların verilerini bile kontrol edebildiği için durum daha ciddi hale geliyor

Microsoft'un yanıt durumu

  • Haberin yazıldığı sırada Microsoft, YellowKey veya GreenPlasma hakkında resmi bir açıklama yapmadı
  • BlueHammer zaten yamalandı
  • Chaotic Eclipse, Microsoft'un RedSun'u sessizce yamaladığını iddia ediyor; ancak bunun için de resmi bir açıklama bulunmuyor

İlgili okumalar

1 yorum

 
GN⁺ 1 시간 전
Hacker News görüşleri

  • Orijinal kaynak https://deadeclipse666.blogspot.com/2026/05/two-more-public-...
    Diğer bağlantılar: https://github.com/Nightmare-Eclipse/YellowKey, https://github.com/Nightmare-Eclipse/GreenPlasma

  • BitLocker açığı basit ama son derece tehlikeli görünüyor
    Kurumlar ve bireyler, cihazlarını kaybettiklerinde verilerini korumak için BitLocker'a güveniyordu, ama Microsoft verdiği sözlere rağmen güvenliği ciddiye almıyor gibi görünüyor
    Daha fazla şirketin Windows ve Microsoft platformlarına bağımlı olmanın risklerini gerçekten anlaması için daha ne olması gerekiyor?

    • Microsoft uzun zamandır BitLocker'ı ciddiye alıyor gibi görünmüyordu
      Windows 7 döneminde Windows kurulum CD'sini takıp Shift+F7 gibi bir tuş kombinasyonuna basarak sürücünün kilidi açık durumdayken sistem komut istemine ulaşabiliyordunuz
      Kurulum programının BitLocker kilidini açabilmesini sağlayacaklarsa, insanın ilk düşüneceği şey “o zaman tüm kurulum programı en az giriş ekranı kadar güvenli olmalı” olurdu, ama belli ki öyle değilmiş
    • RedSun ve Bluehammer, Microsoft'un CVE'lere yanıt vermeden ve araştırmacının katkısını tanımadan sessizce yama geçmesinin görülmesi gereken örnekler
      Bu olay, Microsoft'un kötü güvenlik uygulamalarını sürdürüp bunu örtbas etmeye çalışmasının sonucu
      Araştırmacı, TPM+PIN'i de atlatabilen benzer bir arka kapılı başka bir sürümün hazır olduğunu söylüyor; bu bana inandırıcı geliyor
      Aynı kişinin 3 ay içinde 5 adet ring 0 zero-day bulması istatistiksel olarak aşırı düşük bir ihtimal ve bu kişi exploit işini gerçekten çok iyi biliyor gibi; Juan Sacco seviyesinde görünüyor
    • Linux dağıtımlarının çoğu tam disk şifrelemesini varsayılan olarak etkinleştirmiyor; etkinleştirdiklerinde de çoğu zaman BitLocker ile birebir aynı şekilde, TPM PCR'larına mühürlenmiş otomatik kilit açmayı kullanıyor
      Bu durumda imzalı işletim sistemi imajıyla önyükleme yaptıktan sonra kimlik doğrulamayı atlatabiliyorsanız veya sistem belleğinin durumunu inceleyebiliyorsanız, diskin içeriğine erişmek gibi aynı zafiyetlere sahip oluyorsunuz
      Bu, herhangi bir platformda yapılabilen mimari bir tercih ve “bağımlılık” ile ilgili değil
      BitLocker disk şifrelemesini daha güvenli yapılandırmak kolay, ama yöneticilere büyük yük bindirdiği için genelde yapılmıyor
      Apple'ın FileVault için varsayılan yaklaşımının daha iyi olduğunu düşünüyorum. Çünkü FileVault'u “etkinleştirmek”, mevcut donanım UID'ye bağlı anahtarı kullanıcı parolasıyla da sarmalamaya daha yakın bir yöntem
      Ancak bu strateji uzaktan parola döndürme veya Active Directory gibi devredilmiş kimlik doğrulama senaryolarında büyük sorunlar yaratabilir; sanırım Microsoft'un bunu varsayılan yapmamasının nedeni bu
    • Tek bir hatanın nasıl “güvenliği ciddiye almıyorlar” sonucuna vardığını anlamıyorum
    • Yazının üçüncü paragrafı bilerek yerleştirilmiş bir arka kapı gibi duyuluyor

  • Crikey, arka kapı gibi büyük bir haberin epey gömülmüş olması ilginç
    Bunların hepsi olmasa da çoğu tamamlanmış, çok yüksek değerli exploit'ler gibi görünüyor
    Piyasadaki değerleri astronomik olurdu ve kilit açmayı hizmet olarak sunan şirketleri kullanan kolluk kuvvetleri için biçilmiş kaftan olurlardı
    Bu yüzden kamuya açıklanmasını çok takdir ediyorum

  • BitLocker, donanım güvenli değilse en başta çoğunlukla pek işe yaramıyor
    Sertifikaları donanıma fuse edip sadece OEM'in önyüklenebilir firmware üretmesine izin veren birçok Boot Guard uygulaması var; ama bu sertifikaların sızdırıldığı ve o imzayı taşıyan tüm donanımın açığa çıktığı en az 2 vaka oldu, ayrıca başka baypas yolları da var
    Bazı Boot Guard türleri, yalnızca imzalı firmware'in flash'lanmasına izin veren bir “flash guard” olduğu için doğrudan SPI BIOS çipine yazmayı engelleyemiyor
    Birisinin, firmware içindeki SMM modülünü yamalayarak PCR değerlerini koruyup BitLocker kilidini hiç tetiklemeden bunu yaptığını gösterdiğini görmüştüm
    Yani bir dizüstü ya da masaüstünü söküp firmware'i flash'lamak için yaklaşık 2 dakikanız varsa, dışarıdan SMM modülü eklenmiş bir BIOS yazabilirsiniz demek
    En kritik durum PIN doğrulaması yokken yaşanıyor; dizüstünü çalmanız yeterli ve veriyi çıkarabiliyorsunuz
    PIN varsa, kullanıcıya cihazı boot ettirip ağ üzerinden veri sızdıran bir payload bırakabilir ya da şifre çözme anahtarını şifrelenmemiş bölüme yeniden yazabilir veya diskin sonundaki bazı sektörleri bozup oraya yazdırabilirsiniz; sonra cihazı tekrar çalmanız yeter
    SMM değiştirilirse önyükleme süreci yamalanıp kötü amaçlı yük hypervisor'a ya da çekirdeğe yüklenebilir

    • Yalnızca tamamen yetkin bir saldırgan varsayarsanız işe yaramaz olur
      Her saldırgan devlet düzeyinde değil ve pratikte oldukça amatör olanlar da var
      En güçlü saldırganı durduramıyorsa hiçbir şey işe yaramaz deyip tamamen vazgeçmek bence faydalı bir yaklaşım değil
      Ben de bisiklet kilidimin yeterince becerikli ve inatçı biri tarafından birkaç saniyede kesilebileceğini biliyorum, ama yine de bisikletimi kilitlerim
    • “Donanım güvenli değilse” varsayımı açısından bakınca, HDD/SSD denetleyicisinin yaptığı donanımsal disk şifrelemesinin büyük kısmı BitLocker'ın kendisinden 100 kat daha kötü
      Hata ve güvenlik açığı dolu; onu kullanmak akıl kârı değil

  • https://infosec.exchange/@wdormann/116565129854382214

    • Burada çözümün BitLocker'ı PIN ile birlikte kullanmak olduğu yazıyor
      Ancak YellowKey'in yazarı, PIN'in koruyucu bir önlem olduğu görüşüne katılmadığını söylüyor

  • Vay canına. Microsoft bu arka kapı yüzünden itibar olarak büyük darbe alır mı, yoksa çoğu kurum için fazla vazgeçilmez olduğu için hiçbir şey olmaz mı?

    • AB'nin bu tür olaylar nedeniyle bağımsızlaşma sürecini daha da hızlandıracağını düşünüyorum
    • En az 20 yıldır bu konuları dikkatle izleyen herkesin, Microsoft ürünlerinde zaten arka kapılar olduğunu varsaydığını düşünüyorum
      Sadece Snowden ifşalarının aslı bile, o zamana kadar net değilse bunu yeterince netleştirmişti
      Şirketler, arka kapı olsa bile bunun kendileriyle ilgili olmayacağını ve kendilerini etkilemeyeceğini düşündükleri için Microsoft kullanıyor
      Terörist ya da çocuk istismarı suçlusu olmadıklarını ve BitLocker'da arka kapı olsun ya da olmasın mahkeme celbine zaten uyacaklarını varsayıyorlar
      Güvenlik ve mahremiyet konusunda hassas olan bireyler ise verilerini bir yerdeki VeraCrypt sürücüsüne koyuyor
    • Bunun gerçekten kasıtlı bir “arka kapı” olduğuna dair somut bir kanıt görünmüyor
    • Bu gerçek bir arka kapı değil
      Saldırganın kurtarma modunda önyükleme yaptıktan sonra Windows'u exploit etmesinin bir yolu bulunmuş
      Cihazdaki dosyaların güvenliği, kullanıcı kilidi açmadan önce maruz kalan hiçbir yüzeyde saldırganın Windows'u ele geçirememesine bağlı
      Bu yüzden GrapheneOS gibi işletim sistemleri, saldırganın erişebileceği yüzeyleri azaltmak için ilk açılışta USB portlarını devre dışı bırakıyor
    • Windows'u mahremiyet için kullanan kimse olmadığından, kimsenin umursamayacağını sanıyorum

  • Sistem kilidi açıldıktan sonra anahtarın kopyalanmasını arka kapı sayıp sayamayacağımızdan emin değilim
    İşletim sistemi anahtara erişimi kilitlemeyi vaat edip bunda başarısız olduysa, insanların buna arka kapı demesinin mantığını anlayabiliyorum
    Ama bu, anahtarın baypas edilmesi veya önceden paylaşılmış bir anahtar olmasıyla aynı şey değil; yazı biraz o imayı veriyor gibi
    Bu arada Windows kullanmıyor olmama seviniyorum

    • Evet. Bu, BitLocker açıkken çalışan bir Windows kimlik doğrulama baypası
      Sadece TPM kullanan BitLocker, önyükleme sonrası kimlik doğrulama baypaslarının veya bellek içeriği çıkarma tekniklerinin tamamına karşı zaten savunmasız ve bu olay özellikle aptalca ve tuhaf bir kimlik doğrulama baypas yönteminin yazar ve medya tarafından fazla cilalanmış hali
      Donanım kimliğiyle disk şifrelemesini çözen tüm işletim sistemleri aynı tür saldırılara açıktır
      Linux tam disk şifreleme kurulumlarında da kurtarma kabuğuna düşecek şekilde yanlış yapılandırma yapmak veya bunu exploit etmek için çeşitli yollar vardır
      Yine de bu, “diskte hiç koruma olmamasından” çok daha iyidir ve özellikle diskin donanımdan söküldüğü tüm senaryoları engeller
      Ama önyükleme sonrası saldırı yüzeyi çok büyüktür ve ciddi saldırganlara karşı bu koruma katmanını hız kesici tümsekten fazlası olarak görmemek gerekir

  • Reddit'te, yama geldikten sonra bile bilinen zayıf bir WinRE sürümünün bu sürücüye ya da başka bir sürücüye yazılıp yazılamayacağını soran birini gördüm
    BitLocker ya da TPM hakkında çok bilgim yok; bunlar bunu da engelliyor mu?

  • Bu tür her başlıkta neden bunu küçümsemeye çalışan bu kadar çok yanıt var anlamıyorum
    Neden çoğunun yeni hesaplardan geldiği de tuhaf
    Sürekli “bu bir BitLocker exploit'i değil, bir kimlik doğrulama / yetki yükseltme hatası”, “saldırgan TPM+PIN'in de aşılabildiğini açıkça söyledi ama aslında öyle demedi”, “arka kapı sonucuna atlamamak gerekir”, “yalnız TPM kullanan BitLocker'ın güvenli olmadığını zaten biliyorduk” gibi varyasyonlar görüyorum
    Özellikle sonuncusu garip, çünkü birçok kuruluşun buna güvenmesi bekleniyor

    • Bu sistemler otomatik şifre çözme yapacak şekilde ayarlanmış
      Kilit açma ile kullanıcı oturumu arasındaki sürede Windows'u başarıyla exploit edebilirseniz dosyalara erişebileceğiniz çok açık
      Eğer bu da öyle bir saldırıysa, bu BitLocker'ın kendisindeki bir kusur değildir
      TPM+PIN baypası iddiasına “göster bakalım” denmesi haksız değil
      Arka kapı sonucuna hemen atlamamak gerektiği de doğru
      Ve yalnız TPM kullanan BitLocker, bilinen şekilde güvensiz olmaktan çok, bilinen devasa bir saldırı yüzeyi olarak görülebilir
    • Büyük teknoloji şirketlerini eleştiren yazılarda genelde böyle yanıtlar olur
      Burada bu hep yaşanıyor ve %100 gerçek gibi görünen yanıtları engellemenin de bir yolu yok gibi; o yüzden görmezden gelmek en iyisi

  • Bu durum kasıtlı bir arka kapıya o kadar benziyor ki, 2014'te TrueCrypt'in aniden herkese BitLocker'a geçmesini önermesi daha da şüpheli geliyor
    Bu özel arka kapı o dönemde yoktu muhtemelen, çünkü yalnızca Windows 11'e özgü görünüyor; ama başka arka kapıların var olmuş olması daha olası geliyor
    Yine de, insanları arka kapı eklenebilir bir şifrelemeye geçirmek için TrueCrypt ortadan kaldırıldıysa, halefi olan VeraCrypt'in varlığına neden izin verildiği sorusu ortada duruyor
    VeraCrypt açık kaynak ve bağımsız denetimlerden geçti, dolayısıyla arka kapı içermemesi gerekir