Hoş Geldiniz! 👋

Tüm özelliklerimize erişmek için şimdi bize katılın. Kaydolup giriş yaptıktan sonra konu oluşturabilir, mevcut konulara yanıt gönderebilir, diğer üyelerinize itibar kazandırabilir, kendi özel mesajlaşma programınızı edinebilir ve çok daha fazlasını yapabileceksiniz. Aynı zamanda hızlı ve tamamen ücretsizdir, peki daha ne bekliyorsunuz?

Kayıt Ol

Yeni bir Windows 11 BitLocker Güvenlik Açığını Kapatma Yöntemi

  • Konuyu Başlatan Konuyu Başlatan Adanalı
  • Başlangıç tarihi Başlangıç tarihi
Adanalı

Adanalı

Administrator
Konum
Adana
Katılım
9 Haziran 2018
Konular
1,610
Mesajlar
5,891
Çözümler
1
Reaksiyon puanı
1,768
Puanları
113
Web sitesi
www.trturka.com
Cinsiyet
Erkek

Yeni bir Windows 11 BitLocker güvenlik açığını kapatma yöntemi için sadece bir USB belleğe ihtiyaç duyuluyor ve araştırmacı bunun bir arka kapı olduğunu düşünüyor.​

BitLocker, çoğu Windows 11 kullanıcısının hiç düşünmediği şifreleme katmanıdır. Arka planda sessizce çalışır ve TPM'ye bağlıdır; amacı, birisi dizüstü bilgisayarınızı alıp götürse bile sürücü içeriğinin şifrelenmiş kalmasıdır. Bu varsayım, varlığının temelini oluşturur, ancak bu varsayımlar şimdi alt üst oldu.

12 Mayıs'ta Nightmare-Eclipse olarak bilinen bir araştırmacı, Windows 11 ve Server 2022/2025'i hedef alan, ancak Windows 10'u etkilemeyen " YellowKey " adlı bir kavram kanıtı yayınladı. Tüm güvenlik açığı, bir USB belleğe kopyalayabileceğiniz bir klasörde yer alıyor ve tetikleyici, normal bir yeniden başlatma sırasında Windows Kurtarma Ortamına CTRL tuşunu basılı tutmaktır. Bu, inanılmaz derecede utanç verici bir BitLocker atlatma yöntemi... o kadar utanç verici ki, bunu açıklayan araştırmacı bunun bir arka kapı olduğuna inanıyor.

PoC, çoğu tüketici bilgisayarında varsayılan olan TPM-only modunda BitLocker'a karşı çalışıyor. Araştırmacı, aynı güvenlik açığının TPM+PIN'e karşı da çalıştığını iddia ediyor ancak "zaten piyasada yeterince kötü olan şeyler var" diyerek bu sürümü yayınlamayı reddetti. Bağımsız olarak yeniden üretildiği doğrulandı; güvenlik araştırmacısı KevTheHermit, adımları Windows 11 build 10.0.26100.1 üzerinde çalıştırdı ve sonucu X'te yayınladı.

Tek gereken bir klasör, bir USB bellek ve elde tutulan bir anahtar.​

Ve görünüşe göre daha fazlası da gelecek.​

12109.png

YellowKey deposunda sorunu yeniden oluşturma adımları inanılmaz derecede basittir. Tek yapmanız gereken, birlikte verilen FsTx klasörünü Sistem Birimi Bilgileri dizini içindeki belirli bir yola USB belleğinize kopyalamak, kilitli Windows 11 makinesine takmak, ardından Shift tuşunu basılı tutarak Yeniden Başlat'ı tıklayarak Windows Kurtarma Ortamına önyükleme yapmaktır . Yeniden Başlat'ı tıkladığınız anda Shift tuşunu bırakın, CTRL tuşunu basılı tutun ve basılı tutmaya devam edin. Zamanlama doğruysa, şifrelenmiş birime sınırsız erişim sağlayan bir komut istemi açılır ve buradan diskpart ile BitLocker korumalı sürücüyü bağlayabilir ve istediğiniz her şeyi okuyabilirsiniz.

Araştırmacı, USB belleğe kesinlikle ihtiyaç duymadığınızı bile belirtiyor. Eğer diski hedef makineden yeterince uzun süre çıkarıp FsTx klasörünü EFI sistem bölümüne yazabilirseniz ve ardından diski tekrar takarsanız, saldırı yine de tetiklenir. Bu, bazı kurumsal imajlarda uygulanan "çıkarılabilir medya yok" önlemini atlatır. Saldırıyı temiz bir şekilde yeniden üretmek birkaç deneme gerektirir ve KevTheHermit'in test notlarında, denemeler arasında USB'yi biçimlendirmeniz ve dosyaları sıfırlamanız gerekebileceğinden bahsedilir, ancak bu bir saldırgan için bir rahatsızlıktır, genel olarak saldırıya karşı bir savunma değildir.

YellowKey README dosyasında, atlatma işleminden sorumlu bileşenin yalnızca WinRE imajı içinde bulunduğu, aynı ada sahip bir bileşenin ise atlatma işlemini tetikleyen işlevselliğe sahip olmadan normal Windows kurulumlarında da bulunduğu açıklanıyor. Araştırmacı, bunun bir arka kapı olduğuna inandığını belirterek, "bunun kasıtlı olduğu gerçeğinden başka bir açıklama bulamıyorum" diye yazıyor.

Garip bir şekilde, Windows 10 hiç etkilenmiyor, ancak bunun nedeni belirsiz. Araştırmacının en son blog yazısında açıkça belirtildiği gibi, "Hiç kimse YellowKey'in nasıl çalıştığını çözemedi, gerçek kök neden hala kamuoyu tarafından bilinmiyor."

"Dead eclipse" takma adıyla da blog yazan Nightmare-Eclipse, Microsoft'a karşı bir savaş başlatmış durumda. Aynı kullanıcı daha önce BlueHammer ve UnDefend adlı, her ikisi de Windows odaklı güvenlik açıklarını yayınlamıştı, ancak bunlar YellowKey'in istismar ettiği BitLocker kod yoluyla ilgili değildi. Yayınlanan her güvenlik açığı, şikayeti açıklayan bir blog yazısının yayınlandığı gün GitHub'a yükleniyor ve şikayet her zaman Microsoft'un ele alış biçimiyle ilgili oluyor. YellowKey README dosyası bile, "bu kamuoyuna açıklama yapılmasını mümkün kıldıkları için MORSE, MSTIC ve Microsoft GHOST'a büyük teşekkürler" şeklinde alaycı bir şekilde sona eriyor ve şikayetin özel hedefi olarak Microsoft'un üç iç güvenlik ekibini belirtiyor.

YellowKey'in yanı sıra, GreenPlasma adı verilen ikinci bir güvenlik açığı da ortaya çıktı. Bu, normal bir kullanıcı hesabından SYSTEM yetkisi almanızı sağlayan, CTFMON alt sistemine karşı yerel bir ayrıcalık yükseltme saldırısıdır ve araştırmacı tekniğin analizini yayınladı, ancak son yükseltme kodunu çıkardı.

Şu anda bu konuda gerçekten ne yapabilirsiniz?​

Tüm cihazları şifrelenmemiş olarak kabul edin.​

12110.png


Microsoft bir düzeltme yayınlayana kadar, başvurabileceğiniz basit savunma önlemleri işe yaramayabilir. Sadece TPM'den BitLocker TPM+PIN'e geçmek, Pro ve Enterprise sürümlerinde manage-bde veya Grup İlkesi düzenleyicisinden yapılandırılabilen, Home kullanıcılarının ise her zamanki gibi kilitli kaldığı açık bir çözüm gibi görünüyor. Ancak araştırmacı, TPM+PIN'in yardımcı olmadığını açıkça belirtiyor ve Nightmare-Eclipse dışındaki hiç kimse bunu doğrulamak veya reddetmek için PoC'yi TPM+PIN'e karşı test etmedi. Bu da, güvenle önerilebilecek tek önlem olarak fiziksel erişim engellemesini bırakıyor ve politika gereği sadece TPM kullanan kurumsal filolar, bir yama yayınlanana kadar bunu şifrelenmemiş bir sürücüyle aynı tehdit modeli olarak ele almalıdır.
 
Cevap yazmak için giriş yap yada kayıt ol.
« - | Windows 11'de Öğeler Panoya Kalıcı Olarak Nasıl Kaydedilir »

Konuyu toplam 0 üye okuyor. (0 Kayıtlı üye ve 0 Misafir)

Sitemiz bir forum sitesi olduğu için kullanıcılar her türlü görüşlerini önceden onay olmadan anında siteye yazabilmektedir. 5651 sayılı yasaya göre bu yazılardan dolayı doğabilecek her türlü sorumluluk yazan kullanıcılara aittir. 5651 sayılı yasaya göre sitemiz mesajları kontrolle yükümlü olmayıp, yasaya aykırı yada telif hakkı içeren paylaşımlar BURADAN bize ulaşıldığı taktirde, ilgili konu en geç 48 saat içerisinde kaldırılacaktır. Sitemizde Bulunan Videolar YouTube, Facebook, Dailymotion, v.b. video paylaşım sitelerinden alınmaktadır. Telif hakları sorumluluğu bu sitelere aittir. Videoların hiç biri sunucularımızda bulunmamaktadır.

Forum istatistikleri

Konular
6,639
Mesajlar
28,811
Kullanıcılar
2,479
Son üye
kadir38
  • Ana sayfa Neler yeni Giriş yap Kayıt ol
    • Geri
    Üst