Windows ekosisteminde ortalık karıştı: “Chaotic Eclipse” (Nightmare‑Eclipse) takma adlı güvenlik araştırmacısı, 12 Mayıs 2026’da yayımladığı YellowKey adlı çalışmayla BitLocker korumasını WinRE üzerinden atlatmanın yolunu gösterdi. Microsoft’tan şu an için resmi bir doğrulama ya da CVE yok. Ancak araştırmacının paylaştığı adımlar ve bağımsız denemeler, yöntemin gerçekten çalıştığını söylüyor.
Nasıl çalışıyor?
Yöntem, klasik bir istismar kodu yerine belirli bir klasör yapısından yararlanıyor. Araştırmacı, GitHub’da paylaştığı yönergede USB belleğinizde “System Volume InformationFsTx” yolunu oluşturup sağlanan FsTx klasörünü aynen kopyalamanın yeterli olduğunu, ardından Windows Recovery Environment’a (Shift + Yeniden Başlat) geçip bu kez Ctrl tuşunu basılı tutarak önyükleme yapıldığında BitLocker korumalı sürücüye tam erişimli bir komut satırının açıldığını anlatıyor. Tom’s Hardware bu süreci adım adım denediğini ve çalıştığını yazdı.
Dahası, aynı FsTx yapısı diskin EFI bölümüne kopyalandığında da sonuç alınabiliyor. Bu da saldırganın USB takmadan, diski söküp takarak kurulum yapabileceği anlamına geliyor. Bazı incelemeler, tetiklemeden sonra USB’deki dosyaların silinmesinin iz bırakmamak için tasarlanmış gibi göründüğünü belirtiyor.
Etkilenen sürümler araştırmacının ifadesine göre Windows 11 ve Windows Server 2022/2025. Windows 10’un WinRE bileşenindeki farklılıklar nedeniyle etkilenmediği belirtiliyor. Saldırı uzaktan değil; fiziksel erişim gerektiriyor. Yani risk özellikle çalınan dizüstüler, sahada kullanılan cihazlar ve gözetimsiz bırakılan ofis bilgisayarları için büyüyor.
Araştırmacı, hatanın yalnızca WinRE imajında bulunan ve normal Windows kurulumunda aynı isimle yer alsa da bu işlevlere sahip olmayan bir bileşenden kaynaklandığını; bu yüzden “arka kapı gibi hissettirdiğini” savunuyor. Bu, araştırmacının değerlendirmesi; Microsoft tarafından doğrulanmış bir “bilinçli arka kapı” iddiası yok.
İlk haberlerin yayıldığı 13–14 Mayıs 2026 itibarıyla Microsoft’tan resmi yanıt gelmediği, bir düzeltme veya güvenlik bülteni paylaşılmadığı aktarılıyor.
Ne yapmalı?
- TPM + PIN’i zorunlu kılın: Pre‑boot kimlik doğrulaması (başlangıç PIN’i/anahtarı) olmadan korunan cihazlar daha kırılgan. Grup İlkesi’nden TPM + PIN’i etkinleştirin.
- WinRE’yi sertleştirin veya devre dışı bırakmayı değerlendirin: reagentc /disable ile kapatmak mümkün; ancak kurtarma ve bazı OEM süreçlerini etkileyebilir. Önce test edin.
- UEFI/BIOS’u kilitleyin: Önyükleme sırasını sabitleyin, USB’den önyüklemeyi kapatın, Secure Boot’u etkin tutun ve ayarlara parola koyun.
- Fiziksel güvenliği sıkılaştırın: Kasaya mühür/ kilit, envanter takibi ve cihazların gözetimsiz kalmaması.
- İz arayın: Uç noktalarınızda “System Volume InformationFsTx” yapısının varlığına karşı tarama yapın.
Bu sızıntıyla birlikte araştırmacı, CTFMON’u hedefleyen ve SYSTEM ayrıcalıklarına yükselmeye kapı aralayan GreenPlasma adlı ikinci bir açık da duyurdu; şu an için eksik bir PoC ile paylaşıldı.
Kaynak: www.techspot.com