Windows 11’de BitLocker’ı atlattığı söylenen “YellowKey” adlı sıfır gün açığı, bu ayın ortasında Nightmare‑Eclipse (Chaotic Eclipse) takma adlı araştırmacı tarafından paylaşıldı. Yöntem, fiziksel erişimi olan birinin yalnızca bir USB bellekle BitLocker korumalı sürücüdeki verilere ulaşmasına izin veriyor. Saldırı, şifrelemenin kendisinden değil, Windows’un kurtarma ortamı WinRE’den yararlanıyor.
Nasıl çalışıyor, kimleri etkiliyor?
Paylaşılan kanıtlara göre saldırı için USB belleğe “System Volume Information/FsTx” yapısı kopyalanıyor. Ardından cihaz “Shift+Yeniden Başlat” ile WinRE’ye alınırken Ctrl tuşu basılı tutuluyor ve sistem doğrudan yetkili bir komut satırına düşüyor. Bu noktada BitLocker anahtarı istenmeden sürücüye tam erişim sağlanabiliyor. Tom’s Hardware ekibi yöntemi test ederek çalıştığını yazdı.
Microsoft, açığı CVE‑2026‑45585 olarak kayda aldı ve bunun bir “güvenlik özelliği atlatma” (security feature bypass) sorunu olduğunu doğruladı. Kayıtlara göre etki alanında Windows 11 sürümleri ve Windows Server 2025 var; Windows 10 etkilenmiyor. Microsoft’un NVD notunda, BitLocker’ın yalnızca TPM ile korunduğu varsayılan kurulumların riskte olduğu, TPM+PIN yapılandırmasının ise şu anki yöntemi engellediği açıkça belirtiliyor.
Şimdilik yama yok, ancak geçici önlemler paylaşıldı. Microsoft; WinRE imajında otomatik çalışan FsTx Auto Recovery yardımcı aracını devre dışı bırakmayı ve ardından BitLocker’ın WinRE’ye olan güven zincirini yeniden kurmayı öneriyor. Kurumsal ortamlarda daha hızlı bir bariyer için BitLocker’ı TPM+PIN moduna geçirmek de tavsiye ediliyor.
Bağımsız doğrulamalar da var. Tom’s Hardware yönteminin çalıştığını kendi testleriyle aktardı. Güvenlik araştırmacısı Kevin Beaumont’un da açığın pratikte işletildiğini doğruladığına yer verildi.
Bu teknik tartışmanın yanında olay, Microsoft ile araştırmacı arasında sert bir gerilime dönüştü. Windows Central ve Tom’s Hardware’e göre araştırmacının GitHub hesabı kapatıldı; Microsoft hesabının da silindiği iddia edildi. Araştırmacı, süreçte kendisine ödeme yapılmadığını ve haksız muamele gördüğünü savunuyor.
Ne yapmalı?
- BitLocker’ı TPM+PIN moduna alın. Böylece WinRE’ye geçmeden önce önyüklemede ek bir doğrulama şartı gelir.
- Microsoft’un paylaştığı geçici düzeltmeyi uygulayın: WinRE imajında autofstx.exe girişini kaldırın ve BitLocker’ın WinRE güvenini yeniden kurun.
- UEFI/BIOS parolası belirleyin, Secure Boot’u zorunlu kılın, harici aygıttan önyüklemeyi kapatın.
- WinRE’yi kurumsal gereksinimlere göre kısıtlamayı veya devre dışı bırakmayı değerlendirin; önce test ortamında doğrulayın.
Özetle YellowKey, Windows 11’in varsayılan TPM‑yalnız BitLocker kurulumlarını hedef alan, WinRE merkezli bir fiziksel erişim atağı. Microsoft kalıcı yamayı hazırlayana kadar yukarıdaki adımlarla riski hızla düşürmek mümkün.
Kaynak: www.techspot.com
