BitLocker ile Microsoft, aynı zamanda fiziksel saldırılara dayanması, yani cihazların çalındığı durumları engellemesi amaçlanan Windows sürücü şifrelemesini sağladı. Ancak güvenlik açıkları, örneğin bilgisayarın TPM'sindeki sırların okunmasıyla tekrar tekrar bilinir hale gelir. Şu anda yaygın olarak çalışan başka bir değişken, Windows Kurtarma Ortamı'na (WinRE) dayanmaktadır.
Reklamdan sonra devamını okuyun
Microsoft, en son Mayıs 2025'te “BitUnlocker” ile WinRE aracılığıyla bu tür saldırıları belgeledi ve aslında bunlara karşı koruma sağlamayı amaçlayan güncellemeler yayınladı. Intrinsec'teki BT araştırmacıları artık yine WinRE'yi kullanarak korumayı yeniden aşmanın bir yolunu keşfettiler. Saldırıların pratik geçerliliği açısından, BitLocker şifrelemesini yenmek için fiziksel erişimin gerekli olduğunu bilmek önemlidir.
BitUnlocker saldırıları
BT araştırmacılarına göre Microsoft'un sunduğu saldırı zinciri, önyükleme yöneticisinin sistem dağıtım görüntüsünü (SDI) ve içinde referans verilen WIM dosyasını (Windows Görüntü Formatı) yüklemesi ve WIM'in bütünlüğünü kontrol etmesiyle başlıyor. Blob tablosuna başka bir WIM eklendiğinde, önyükleme yöneticisi ilk WIM dosyasını kontrol eder, ancak işaretlenmemişse saldırganlar tarafından kontrol edilen ikinci dosyayı yükler. İkinci WIM, yürütüldüğünde şifresi çözülmüş BitLocker sürücüsüne erişim sağlayan cmd.exe dosyasını başlatabilen bir WinRE görüntüsü içerir. BitLocker'ın kilidi, başlangıçta yaygın olarak kullanılan otomatik kilit açma modunda testi geçerek açıldı (CVE-2025-48804, CVSS) 6.8risk”orta“).
Temmuz 2025'te Microsoft, sorunu çözmesi gereken güncellenmiş önyükleme yöneticilerini dağıttı. PCA-2011 veya CA-2023 Secure Boot sertifikaları ile imzalanmıştır. Artık bulunan güvenlik açığı, Güvenli Önyüklemenin yalnızca ikili dosyanın sertifikasını kontrol etmesi, sürümünü kontrol etmemesidir. Bu sayede PCA 2011 sertifikası ile imzalanan güvenlik güncellemesinden önce zafiyetli bir “bootmgfw.efi” dosyası başlatılabiliyor; güvenli önyükleme açısından bakıldığında bu da en az yamalı sürüm kadar geçerli.
Güvenli önyükleme sertifikaları kolayca iptal edilemez; bu durum özellikle eski 2011 sertifikalarının süresi dolduğunda belirgindir. Microsoft, sertifikaları güncellemek için gerçekten çaba harcıyor ve yükseltmenin hızlı bir şekilde gerçekleştirilebilmesi için özellikle şirket ağlarındaki yöneticilere bol miktarda yardım sağlıyor. Güncellenen bu sertifikalar dağıtılmadığı ve güncel olmayan sertifikalar iptal edildiği sürece, güncel olmayan bir önyükleme yöneticisi kullanılarak yapılan bir saldırı (sürüm düşürme saldırısı) mümkündür. BT araştırmacıları ayrıca GitHub'da güvenlik açığını gösteren bir kavram kanıtı (PoC) sağlıyor. Saldırı yalnızca dakikalar gerektirir ve karmaşık ekipman gerektirmez, yalnızca bir USB bellek ve fiziksel erişim gerektirir.
BT güvenliği araştırmacıları, bu tür saldırılara karşı korumayı iyileştirmek için başlangıçta PIN sorgulama işlevinin etkinleştirilmesini öneriyor; bu, BitLocker saldırılarının çoğunu önlüyor. Bu saldırılara karşı güvenilir bir şekilde koruma sağlayan tek önlem budur. Microsoft ayrıca önyükleme yöneticisinin CA-2023 sertifikasına taşınmasını ve eski PCA-2011 sertifikasının iptal edilmesini de önerir. Microsoft'un 2023 tarihli bir kılavuzu süreci açıklıyor. Bu aynı zamanda Güvenli Sürüm Numarasını (SVN) kullanarak sürüm izlemeyi de etkinleştirir. Bu karşı önlemler biraz hantal olduğundan çok yaygın değiller.
Reklamdan sonra devamını okuyun
Ancak Ekim 2026'da eski PCA 2011 sertifikalarının geçerliliğinin sona ermesiyle bu saldırının kendi kendine çözülmesi bekleniyor. Ancak sunulan saldırı, yeni güvenli önyükleme sertifikalarına geçişin hızlı bir şekilde yapılması gerektiğini bir kez daha gösteriyor.
(DMK)
Bir yanıt yazın