Microsoft, Windows BitLocker’da bulunan ve korumalı sürücülerin erişimini sağlayan “YellowKey” adlı sıfırıncı gün (zero-day) güvenlik açığı için bazı önlemler paylaştı. Bu kritik zafiyet, kaynağı gizli bir araştırmacı olan ‘Nightmare Eclipse’ tarafından açıklandı ve bir kanıt konsepti (PoC) ile desteklendi.
Saldırı Nasıl Çalışıyor?
‘Nightmare Eclipse’, bu sıfırıncı gün güvenlik açığının, özelleştirilmiş ‘FsTx’ dosyalarının bir USB sürücü veya EFI bölümü üzerine yerleştirilmesi, WinRE’ye önyükleme yapılması ve ardından CTRL tuşuna basılarak BitLocker korumalı depolama alanına sınırsız erişimin tetiklenmesiyle gerçekleştirildiğini belirtti. Geçen ay, BlueHammer (CVE-2026-33825) ve RedSun (tanımsız) adlı yerel ayrıcalık yükseltme (LPE) sıfırıncı gün açıklarını da ifşa etti.
Araştırmacı ayrıca, saldırganların bir SYSTEM shell elde etmesini sağlayan GreenPlasma adlı bir sıfırıncı gün ayrıcalık yükseltme güvenlik sorununu ifşa etti ve UnDefend adlı başka bir sıfırıncı gün açığını paylaştı. Bu son sorun, standart kullanıcı izinlerine sahip saldırganlar tarafından Microsoft Defender tanım güncellemelerini engellemek için kullanılabilir.
Etkilenen Sistemler
Microsoft, YellowKey açığını CVE-2026-45585 koduyla takip etmeye başladığını açıkladı ve bu zafiyete yönelik olası saldırılara karşı savunma önlemleri paylaştı. Açıklamada, “Microsoft, Windows’ta ‘YellowKey’ olarak adlandırılan bir güvenlik özelliği atlama açığını fark etti.” denildi. Bu zafiyetin yer aldığı PoC, koordineli zafiyet en iyi uygulamalarını ihlal ederek kamuya açık hale getirildi.
Çözüm ve Korunma
Microsoft, YellowKey saldırılarına karşı korunmak için şu önlemleri önerdi:
- autofstx.exe girişini, Session Manager’ın BootExecute REG_MULTI_SZ değerinden kaldırın.
- BitLocker güvenini WinRE’de yeniden oluşturun ve CVE-2026-33825’teki yöntemleri takip edin.
- BitLocker’ı, henüz şifrelenmiş cihazlardan “TPM-sadece” modundan “TPM+PIN” moduna geçirmek için PowerShell veya kontrol panelini kullanarak bir ön yükleme PIN’i isteyin.
Ayrıca, henüz şifrelenmemiş cihazlarda, yöneticilerin “Başlangıçta ek kimlik doğrulaması gerektir” seçeneğini Microsoft Intune veya Grup Politikası aracılığıyla etkinleştirmeleri ve “TPM başlatma PIN’ini yapılandır” seçeneğini “TPM ile başlatma PIN’ini gerektir” olacak şekilde ayarlamaları önerilmektedir.
Bu tür zafiyetlerin etkin bir şekilde yönetilmesi için sistem yöneticilerinin güncellemeleri düzenli olarak kontrol etmeleri ve gerekli önlemleri alarak olası saldırılara karşı savunmalarını güçlendirmeleri önemlidir.
