Windows BitLocker Sıfır Günü: YellowKey ve GreenPlasma Açıkları
Bir siber güvenlik araştırmacısı, Microsoft Windows’ı etkileyen iki yamanmamış güvenlik açığı olan YellowKey ve GreenPlasma için kanıt-kavram (PoC) istismarlarını yayımladı. Bu açıklar, BitLocker’ı atlama ve ayrıcalık yükseltme ile ilgili ciddi tehditler oluşturuyor.
YellowKey BitLocker Atlatma
YellowKey, Microsoft’un Windows 11 ve Windows Server 2022/2025 sürümlerini etkileyen bir BitLocker atlatma açığıdır. Araştırmacı, söz konusu açığın, Windows Kurtarma Ortamı (WinRE) içinde sadece özel olarak hazırlanmış ‘FsTx’ dosyalarını bir USB sürücüsüne veya EFI bölümüne yerleştirilerek kullanılmasını sağladığını belirtmiştir. Aşağıdaki adımlar izlenerek açık istismar edilebilir:
- Özelleştirilmiş ‘FsTx’ dosyalarını bir USB sürücüsüne yerleştirin.
- WinRE’ye girmek için bilgisayarı yeniden başlatın.
- CTRL tuşuna basılı tutarak bir komut istemi (shell) açın.
Chaotic/Nightmare Eclipse’e göre, açılan shell, BitLocker ile korunan depolama alanlarına sınırsız erişim sağlar. Bağımsız güvenlik araştırmacısı Kevin Beaumont, YellowKey açığının geçerli olduğunu ve BitLocker’ın bir arka kapıya sahip olduğunu doğrulamıştır. Beau mont, bu riski azaltmak için BitLocker PIN’i ile BIOS parolası kullanılmasını önermektedir.
Etkilenen Sistemler
YellowKey açığı, CVE-2026-33825 koduyla tanımlanan BlueHammer ve diğer bazı yerel ayrıcalık yükseltme açıklarının ardından ortaya çıkmıştır. Araştırmacı, Microsoft’un hata raporlarına yönelik tatmin edici bir yanıt vermemesi nedeniyle bu tür bilgileri yayımlama kararı aldığını ifade etmiştir. Ayrıca, TPM (Trusted Platform Module) ve PIN ortamında bile açığın istismar edilebildiği belirtilmiştir.
GreenPlasma Açığı
GreenPlasma, sistem izinleri ile bir shell elde etmeye olanak tanıyan bir ayrıcalık yükseltme güvenlik sorununu temsil eder. Araştırmacı bu açığı, “Windows CTFMON Rastgele Bölüm Oluşturma Ayrıcalık Yükseltme Açığı” olarak tanımlamıştır. Bu açık sayesinde, ayrıcalıklı kullanıcılar tarafından writable olan dizinleri manipüle etmek mümkündür.
Araştırmacı, oluşturulan yeni bölümün verileri etkileme kapasitesine sahip olduğunu ve bunun belirli yollara erişimi olmayan standart kullanıcılar için bazı hizmetleri manipüle edebileceğini belirtmiştir. Ancak, mevcut PoC’in eksik olduğu ve tam bir SYSTEM shell elde etmek için gerekli bileşeni içermediği de vurgulanmıştır.
Çözüm ve Korunma
Kullanıcıların aşağıda belirtilen adımları atarak sistemlerini korumaları kritik önem taşıyor:
- Windows 11 ve Windows Server 2022/2025 sürümünüzü güncel tutun.
- Açıkların etki alanına girmemek için BitLocker PIN’i ve BIOS parolası kullanın.
- Güvenlik yamalarının ve güncellemelerin düzenli olarak uygulanmasını sağlayın.
Microsoft, güvenlik açıklarının bildirilmesi konusunda proaktif bir yaklaşımı olduğunu belirtmiştir. Kullanıcıların cihazlarını korumak adına bu önerilere uymaları hayati önem taşımaktadır.
Sonuç olarak, kullanıcılar bir an önce sistemlerini güncellemeli ve ek güvenlik önlemleri almalıdır. Özellikle BitLocker konfigürasyonlarının gözden geçirilmesi ve gerektiğinde kapatılması, olası saldırılara karşı anlamlı bir koruma sağlayacaktır.
