Güvenlik araştırmacısı, Microsoft'un BitLocker'a bir arka kapı eklediğini söyleyerek exploit'i yayımladı
(techspot.com)- Güvenlik araştırmacısı Nightmare-Eclipse, YellowKey'i yayımlayarak BitLocker tam birim şifrelemesinin parola olmadan aşılabildiğini açıkladı
- YellowKey, FsTx klasörü Windows uyumlu bir dosya sistemine sahip USB sürücüye kopyalandıktan sonra WinRE'de belirli bir sıralama izlenerek yeniden üretilebiliyor
- Süreç tamamlandığında bir komut kabuğu açıldığı ve BitLocker korumalı birimlerde gezinme, kopyalama ve dosya işlemleri yapılabildiği aktarılıyor
- Nightmare-Eclipse, bu atlatma davranışının yalnızca resmî WinRE imajında görüldüğünü belirterek kasıtlı bir arka kapı olasılığını gündeme getiriyor
- Etkilenen sürümlerin Windows 11, Server 2022, Server 2025 olduğu, Windows 10'un ise etkilenmediği ekleniyor
YellowKey'in çalışma koşulları
- Güvenlik araştırmacısı Nightmare-Eclipse, YellowKey'i yayımlayarak BitLocker'ın tam birim şifrelemesinin tamamen aşılabildiğini açıkladı
- YellowKey, ekli FsTx klasörü NTFS, FAT32, exFAT gibi Windows uyumlu dosya sistemleriyle biçimlendirilmiş bir USB sürücüye kopyalanarak yeniden üretilebiliyor
- USB sürücü olmadan da FsTx dosyaları Windows EFI bölümüne kopyalanıp şifreli disk sistemden geçici olarak ayrılırsa çalışabildiği aktarılıyor
- Ardından BitLocker ile korunan sistem yeniden başlatılıp Windows Recovery Environment(WinRE) içine girildikten sonra belirli bir giriş sırası izlenmeli
- İşlem doğru şekilde tamamlanırsa bir komut kabuğu açılıyor ve parola olmadan BitLocker korumalı birimlerde gezinme, kopyalama ve diğer dosya işlemleri yapılabildiği belirtiliyor
Arka kapı şüphesinin dayanakları
- Nightmare-Eclipse, YellowKey'in daha önce bilinmeyen bir güvenlik hatası olarak görülmeyecek kadar sıra dışı olduğunu ve Microsoft'un BitLocker veri koruma sistemine meşru bir arka kapı yerleştirmiş olabileceğini öne sürüyor
- Gerekçe olarak, soruna yol açan bileşenlerin yalnızca resmî WinRE imajında bulunmasını gösteriyor
- Aynı bileşenlerin standart Windows kurulum imajında da yer aldığı, ancak gerçek sistemlerde gözlenen BitLocker atlatma davranışının ortaya çıkmadığı belirtiliyor
- Nightmare-Eclipse, “Bunun kasıtlı olduğu gerçeği dışında bir açıklama düşünemiyorum” dedi ve Windows 10'un etkilenmediğini, yalnızca Windows 11, Server 2022, Server 2025 sürümlerinin etkilendiğini ekledi
Dış doğrulama ve ek yayımlar
- Üçüncü taraf araştırmacıların, Nightmare-Eclipse'in GitHub materyallerinde anlatılan yöntemle YellowKey'in çalıştığını doğruladığı aktarılıyor
- Nightmare-Eclipse, yetki yükseltmeye imkân tanıdığı belirtilen ikinci exploit GreenPlasma'yı da yayımladı
- GreenPlasma için SYSTEM düzeyinde erişim sağlayan tam kavram kanıtı kodu paylaşılmadı; ancak gelecek ayki Patch Tuesday öncesinde ek ayrıntıların açıklanabileceği ima edildi
Azaltma yönü
- YellowKey'in arka kapı benzeri davranışına ilişkin şüpheleri azaltmanın görece basit olduğu belirtiliyor
- Güvenlik uzmanları, yalnızca tek bir şifreleme sistemine güvenilmemesini ve iyi incelenmiş tam disk şifreleme alternatiflerinin de değerlendirilmesini öneriyor
- Örnek olarak VeraCrypt veriliyor
2 yorum
Lobste.rs görüşleri
Bu arka kapının çalışması için WinRE'nin sürücünün kilidini açabilmesi gerektiği söyleniyor (önceki yazı); sürücü parola ile korunuyorsa muhtemelen o parolayı girmek gerekir
Muhtemelen asıl hedef, yalnızca TPM'ye güvenip disk şifreleme parolası kullanmayan şeffaf BitLocker. Zaten tam Windows önyüklenmiş, şifreleme anahtarı bellekte duruyor ve yalnızca giriş ekranı oturum açmayı engelliyorsa, adı üstünde güvenli değil
Zaten Windows'un içine girilmiş olduğundan saldırı yüzeyi çok geniş; OP'nin “bugdoor” dediği şeyin dışında da giriş ekranını atlatmaya izin veren birçok hata oldu. Ayrıca TPM veri yolunu dinleyebilir ya da cold boot saldırısıyla anahtarları bellekten çıkarabilirsiniz
Elbette yine de endişe verici, ancak BitLocker'ın önerilen kullanım biçimi de galiba bu ve sıradan kullanıcılara, disk şifrelemesinde gerçek bir parola kullanmadıklarında doğan riskler düzgün anlatılmıyor. Yine de bu açığın yalnızca BitLocker'ı zaten temelden güvenli olmayan bir şekilde kullanan durumları etkilediğini ve mevcut saldırıları biraz daha kolaylaştırdığını düşünüyorum
Tabii WinRE parola ile şifrelenmiş sürücüleri de sihirli biçimde açabiliyorsa durum değişir; ama öyle olsaydı bunu birilerinin yıllar önce fark etmiş olmasını beklerdim
“İkinci olarak, hayır, TPM+PIN de yardımcı olmuyor. Bu hâlâ istismar edilebilir. Ben de kendi kendime ‘Bu, TPM+PIN yapılandırmalarında da çalışır mı?’ diye sordum ve cevap evet. Ancak PoC yayımlamayacağım. Zaten yayımlanmış olanın bile yeterince kötü olduğunu düşünüyorum”
Başka bir deyişle, Paul Le Roux uyuşturucu ve suikast suçlarından tutuklanıp yetkililerle işbirliği yapmaya başladığı anda TrueCrypt kullanıcıları arka kapılı bir yazılıma yönlendirilmiş oldu
Wikipedia'ya göre Le Roux 2012'de tutuklandı; yani bu zaman çizelgesi pek uyuşmuyor gibi
https://news.ycombinator.com/item?id=7812133
Giderek daha haklı görünen komplo teorisi şapkamı takarsam, bulut anahtarı talepleri kayıt bırakabilir ve adli onay gerektirebilir
Nisan sonlarında bir Windows güncellemesi yükledikten sonra PIN ile BitLocker birimini hiç çözememeye başladım. Kurtarma kodu çalışıyordu ama PIN'i defalarca sıfırlamama rağmen sürekli hatalı diyordu
Sonunda sebebini bulamadım ve Windows'u yeniden kurdum. Oldukça sinir bozucu bir hataydı, bir yandan da komik bir tesadüf
Ben gidip bir yere ECDSA'da arka kapı olduğunu yazsam, tıklama peşindeki yerler dışında kimse bunu haber yapmaz
Bunun kasıtlı bir arka kapı olabileceğinden şüphelenmek de çok büyük bir sıçrama sayılmaz ama bu hâlâ spekülasyon
Kanıt olmayan kısım, ayrıca ayrı PIN ayarlı BitLocker'ın da atlatılabildiği iddiası. Bu haberde yer almıyordu
Bu kişinin Windows açıkları bulma konusunda oldukça iyi bir geçmişi var gibi görünüyor; dolayısıyla PoC olmasa bile dikkate değer bir iddia bence
Elbette hırsızlığa karşı korunması gereken hiçbir şeyi Windows'ta tutmamalısınız. Windows'ta bankacılık, yatırım, vergi, e-posta, hosting, alışveriş ya da özel işler yapılmamalı
Windows yalnızca (i) oyun ve (ii) Windows için derleme işleri için kullanılmalı
Hacker News yorumları
Bu açığı bulan araştırmacı Nightmare-Eclipse'in yazılarına bakınca, olayın neredeyse bir haftadır sürdüğü anlaşılıyor
12 Mayıs 2026 Salı günü “bu kez iki açık var [YellowKey] [GreenPlasma] [...] bir sonraki Patch Tuesday'de Microsoft'u büyük bir sürpriz bekliyor” dedi, 13 Mayıs 2026 Çarşamba günü ise “tüm hikâyeyi açıklayabildiğimde insanlar patlamamın oldukça makul olduğunu görecek ve bu Microsoft için hiç de iyi görünmeyecek” diye yazdı
Yazarın blogu: https://deadeclipse666.blogspot.com/
Mart 2026'daki ilk yazıda da “birileri anlaşmamızı bozdu, ben ise parasız kaldım ve evimi kaybettim. Bunun böyle olacağını bilmelerine rağmen beni sırtımdan bıçakladılar. Bu benim kararım değil, onların kararı” tarzı ifadeler var
Buna nasıl bakmak gerektiğinden emin değilim ama bir içeriden birinin fiilen “sızdırması” gibi de geliyor ve başkaları da sonuçları yeniden üretebiliyor gibi görünüyor
Bunun bir backdoor olup olmadığı, sonuçta her zamanki “bug mı backdoor mu” bakışınıza bağlı ve teknoloji medyasının sevdiği türden “Microsoftsa 1, BitLocker hacklendi” diye özetlenecek basit bir hikâye değil
Özünde mesele, Windows Recovery Environment WinRE içindeki NTFS transaction log replay işlevindeki bir bug; bu sayede harici bir volume'deki NTFS transaction log'u okunup mount edilmiş dosya sistemine uygulanabiliyor. Bunun sonucu olarak saldırgan WinRE kimlik doğrulamasını atlatabiliyor
PIN veya parola olmadan kullanılan BitLocker'da herhangi bir kimlik doğrulama atlatması, disk şifrelemesini de atlatmak anlamına geliyor. Çünkü bootloader diski zaten unseal ediyor; aynı yapısal “kusur” aynı ayardaki Linux için de geçerli. Örneğin Ubuntu kurulumundaki nispeten yeni Hardware Disk Encryption kutucuğu kullanıldığında da durum aynı
Ek kanıt olmadan, NTFS transaction log meselesinin yerleştirilmiş bir backdoor mu yoksa sıradan bir enum bug'ı mı olduğu, exploit geliştirmede sık görülen komplo seviyesiyle ilgili. Bana göre makul bir bug gibi görünüyor; boot sırasında unseal zafiyeti zaten iyi bilinen ve bariz bir şey, o yüzden bunu dünyayı sarsacak bir ifşa olarak görmüyorum ama ilginç bir bug olduğu kesin
Daha iyi bir özet: https://infosec.exchange/@wdormann/116565129854382214
Yayımlanan exploit, PIN kullanan BitLocker'ı etkilemiyor. PIN yoksa BitLocker zaten güvenli değil
Asıl yazar, PIN olsa da çalışan bir exploit'i olduğunu iddia ediyor ama henüz bunun kanıtını sunmadı
BitLocker için PIN zorunlu kılan bir şirket görmedim
Kaynak: https://infosec.exchange/@wdormann/116565129854382214
“Tipik bir WinRE oturumunda X:\Windows\System32 dizini vardır ve içinde winpeshl.ini dosyası bulunur”
“Ama YellowKey exploit'inde, USB sürücüsündeki Transactional NTFS parçalarının başka bir sürücüdeki winpeshl.ini dosyasını silebildiği görülüyor”
İlginç. Bu ortamı iyi bilmiyorum ama safça düşününce mesele dosya handle'ı oluşturma ya da aktarma sorunu olabilir mi? Öyleyse WinRE yeniden başlatılırken neden klavye girişi gerekiyor?
Bunun ne kadar yamanabileceğini de merak ediyorum. Sayısız WinRE USB sürücüsüne dokunmak mümkün olmayacaktır; acaba BitLocker tarafında erişim izinleri güncellenebilir mi? Şifre çözme/yeniden şifreleme gerekir mi? Görünen o ki daha çok şey çıkacak
Bu yüzden saldırı Ubuntu live CD gibi bir şeyle boot etmekten değil, özellikle WinRE gerektiriyor
Ayrıca mevcut tüm WinRE USB sürücülerini yamalamak gerekmiyor. Secure Boot imzası iptal edilirse TPM doğrulamasını geçemez ve dolayısıyla hiçbir diski çözemez
“Güvenlik uzmanları genel olarak tek bir şifreleme sistemine bel bağlamamayı ve VeraCrypt gibi iyi incelenmiş tam disk şifreleme alternatiflerini değerlendirmeyi önerir”
Eğer FDE'ye bir backdoor koydularsa, insanlara doğrudan Windows kullanmayı bırakıp Linux'a geçmelerini söylemek daha mantıklı olur
FDE'ye backdoor koydularsa, işletim sisteminin kendisinde de yalnızca bir tane olmadığını varsaymak gerekir. Kapalı kaynak yazılımlara hiç güvenilmemeli; düzgün denetlenmemiş açık kaynaklara da güvenilmemeli
Bu, BitLocker'a özgü bir sorundan çok oturum açma atlatma meselesi gibi görünüyor. PIN olmadan TPM'e dayanıldığında çözme işlemi otomatik oluyor
Normalde saldırganın oturum açma ekranını geçememesi gerekir, dolayısıyla sorun olmamalı; ancak bu exploit kurtarma ortamında sınırsız bir shell elde etmenin yolunu gösteriyor gibi duruyor
Araştırmacı PIN'i de atlatan bir yöntem olduğunu söylüyor ama henüz yayımlamadı
Güvenlik uzmanları “Microsoft ürün güvenliği” rollerini ne zaman reddetmeye başlayacak acaba? Ben o noktaya çoktan geldim
Microsoft ürün güvenliği, MS'in çılgın teknik borcu ve açgözlülüğünün bir sonraki dalgasında yeniden çökene kadar insanı meşgul eden bir işten ibaret. Artık bir de backdoor var
Tüm compliance kurallarını yerine getirmiş, MS etkisindeki “best practice”leri izlemiş oluyorsun; böylece ne olursa olsun sorumluluk sende kalmıyor
Uçtan uca şifreli yedekler için ADP'yi açabilirsin ama konuştuğun kişilerin bunu açmamış olması muhtemel, dolayısıyla pek yardımcı olmayabilir
Microsoft'u savunmaya çalışmıyorum; söylemek istediğim, bu şirketlerin hepsinin PRISM'in bir parçası olduğudur
Geçmişte Windows NT'nin bir sürümü yanlışlıkla debug symbols açık halde çıktığında, Microsoft'un “yedek anahtar” dediği anahtarın adının neden ..._NSAKEY olduğundan bahsedelim mi
Sadece bir kez, gerçekten sadece bir kez Windows debug symbols açık halde yayımlandı ve tesadüfen şifreleme anahtarının adı “NSAKEY” çıktı
Elbette devletin yanlışlarını görmezden gelmeye devam edenler bunun tamamen normal olduğunu söyleyecek ve o dönem Microsoft'un özenle hazırladığı “backdoor değil” savunmasını aynen tekrarlayacaktır
Exploit'i biraz daha inceleyince, bunun yalnızca TPM modundaki BitLocker'ı hedeflediği görülüyor. Yani pre-boot authentication gibi bir şey yok
Secure Boot boot zincirini doğruladığında TPM şifreleme anahtarını kendiliğinden veriyor. Fiziksel erişim varsa büyük bir fark kalmıyor
İstersen exploit yüklü bir USB ile boot edip acil shell alırsın, istersen 5 dolarlık bir mikrodenetleyici alıp anakarttaki belirli pinlere lehim yaparak TPM anahtarını sniff edersin
Microsoft genel olarak güvensiz bir şeyi tam disk şifreleme diye satıyor. Bir flash sürücüye exploit koyup shell alarak dosyaları tarayıp kopyalayabilecek biri, bir mikrodenetleyici alıp YouTube'da lehim videosu izleyerek bunu da yapabilir
Dolayısıyla sorun “exploit”in kendisi değil, Microsoft'un sattığı sahte güvenlik hissi
5 dolarlık mikrodenetleyiciyle belirli pinlere lehim yapıp TPM anahtarını sniff etmek yalnızca dTPM'de mümkündür. fTPM buna açık değildir ve dTPM'den çok daha yaygındır
Boot sırasında bir passphrase yazmak zaten kas hafızası haline gelmiş durumda ve güvenilebilecek kadar basit bir güvenlik sağlıyor
Anakart olmadan da veriyi kurtarabiliyorsun
Günlük kullanım için, evil maid saldırılarını önlemek adına Secure Boot+TPM+passphrase birleşimi bir slot ve yanında bir yedek passphrase slot'u olan hibrit bir yapı makul olabilir
https://deadeclipse666.blogspot.com/2026/05/were-doing-silen...
Bu, BitLocker'a yönelik bir saldırıdan çok Secure Boot zincirine yönelik bir saldırı gibi görünüyor
PIN'siz kilit açmanın değeri, tehdit modelinin disk imhası, diskin sökülmesi veya TPM ile diskin birbirinden ayrılması gibi durumlarla sınırlı olduğunda ortaya çıkar
Cihaz düzenli olarak birden fazla kullanıcı tarafından kullanılıyorsa PIN girmek rahatsız edici ya da imkânsız olabilir. Bu yüzden erişim doğrulama kontrolü güvenilen işletim sistemi bileşenlerine devredilmiş olur
“TrueCrypt kullanımı güvenli değildir ve düzeltilmemiş güvenlik sorunları içerebilir” cümlesini hatırlayan var mı? ;)