BitLocker Açıkları ve Önemi
Microsoft, geçtiğimiz hafta kamuoyuna açıklanan BitLocker geçiş açığına yönelik bir mitigasyon geliştirdi. Bu sorun, sistemlerin BitLocker güvenlik özelliğini aşarak, kötü niyetli kişilerin şifrelenmiş verilere erişmesine olanak tanıyan bir zafiyet olarak öne çıkmaktadır.
Saldırı Nasıl Çalışıyor?
Bu sıfırıncı gün açığı, şu anda CVE-2026-45585 koduyla takip edilmektedir ve CVSS puanı 6.8’dir. Güvenlik araştırmacısı Chaotic Eclipse (diğer adıyla Nightmare-Eclipse) tarafından keşfedilen bu açık, kötü amaçlı FsTx dosyalarının bir USB sürücüsüne veya EFI bölümüne yerleştirilmesiyle çalışmaktadır. Saldırgan, USB sürücüsünü hedef Windows bilgisayara bağlayarak, Windows Kurtarma Ortamı’na (WinRE) reboot edebilir ve CTRL tuşuna basarak kısıtlanmamış bir erişim elde edebilir.
Microsoft, bu açık sayesinde bir saldırganın fiziksel erişime sahip olduğu takdirde, sistemin BitLocker Aygıt Şifreleme özelliğini atlayarak şifrelenmiş verilere erişebileceğini belirtmiştir.
Etkilenen Sistemler
Açık, aşağıdaki Windows sürümlerini etkilemektedir:
- Windows 11 Versiyon 26H1 (x64 tabanlı sistemler)
- Windows 11 Versiyon 24H2 (x64 tabanlı sistemler)
- Windows 11 Versiyon 25H2 (x64 tabanlı sistemler)
- Windows Server 2025
- Windows Server 2025 (Server Core kurulum)
Çözüm ve Korunma
Microsoft, bu zafiyetin riskini azaltmak için aşağıdaki önlemleri önermektedir:
- Her cihazda WinRE görüntüsünü bağlayın.
- Bağlanmış WinRE görüntüsünün sistem kayıt defteri hive’ını bağlayın.
- Session Manager’ın BootExecute REG_MULTI_SZ değerinden “autofstx.exe” değerini çıkarın.
- Kayıt Defterini kaydedin ve çıkarın.
- Bağlantıyı kesin ve güncellenmiş WinRE görüntüsünü onaylayın.
- WinRE için BitLocker güvenini yeniden oluşturun.
Araştırmacı Will Dormann, bu değişiklikle birlikte WinRE görüntüsünün başlatılması sırasında FsTx Otomatik Kurtarma Aracının otomatik olarak başlamasını engelleyerek güvenliğin artırılabileceğini belirtmiştir. Ayrıca, TPM-yalnız modundan TPM+PIN moduna geçiş yapılması önerilmektedir.
Microsoft, kullanıcıların mevcut cihazlarda BitLocker’ı “TPM-yalnız” koruyucudan “TPM+PIN” moduna geçirmesi gerektiğini de vurgulamaktadır. Bu değişiklik, başlangıçta sürücünün şifresini çözmek için bir PIN gerektirecektir.
Sonuç ve Aksiyon
Bu açık nedeniyle, kullanıcıların güncellemelerini bir an önce yapmaları, sistemlerini korumak adına gerekli önlemleri almaları kritik önem arz etmektedir. Şunları yapmalısınız:
- Hemen sistem güncellemelerini kontrol edin ve uygulayın.
- BitLocker ayarlarınızı gözden geçirerek TPM+PIN moduna geçiş yapın.
- Yeni güvenlik yapılandırmalarını uygulamak için Microsoft Intune veya Grup Politikaları ile ek authentication seçeneklerini etkinleştirin.
Bu adımlar, potansiyel saldırılara karşı sistemlerinizin güvenliğini artıracaktır.
