BitLocker ile Microsoft, Windows'u aynı zamanda fiziksel saldırılara da dayanıklı olması, yani cihaz hırsızlığı durumlarını da engellemesi gereken sürücü şifrelemesiyle donattı. Ancak güvenlik açıkları, örneğin bilgisayarın TPM'sindeki sırların okunması yoluyla sürekli olarak keşfedilir. Şu anda yaygın olarak çalışan başka bir değişken, Windows Kurtarma Ortamı'na (WinRE) dayanmaktadır.
Duyurudan sonra devamını okuyun
Microsoft yakın zamanda bu tür saldırıları WinRE aracılığıyla Mayıs 2025'te “BitUnlocker” ile belgeledi ve aslında bunlara karşı koruma sağlamayı amaçlayan güncellemeler yayınladı. Intrinsec'teki BT araştırmacıları artık WinRE'yi kullanarak güvenliği tekrar atlamanın bir yolunu keşfettiler. Saldırıların pratik önemi nedeniyle BitLocker şifrelemesini yenmek için fiziksel erişimin gerekli olduğunu bilmek önemlidir.
BitUnlocker saldırıları
Siber araştırmacılara göre Microsoft'un sunduğu saldırı zinciri, önyükleme yöneticisinin sistem dağıtım görüntüsünü (SDI) ve içinde referans verilen WIM (Windows Görüntü Formatı) dosyasını yüklemesi ve WIM'in bütünlüğünü doğrulamasıyla başlıyor. BLOB tablosuna başka bir WIM eklendiğinde, önyükleme yöneticisi ilk WIM dosyasını kontrol eder, ancak saldırganlar tarafından kontrol edilen ikincisini yüklemeyi kontrol etmez. İkinci WIM, yürütüldüğünde şifresi çözülmüş BitLocker sürücüsüne erişim sağlayan cmd.exe dosyasını başlatabilen bir WinRE görüntüsü içerir. BitLocker'ın kilidi, yaygın olarak kullanılan otomatik kilit açma modunda, önyükleme sırasında testi geçerek açıldı (CVE-2025-48804, CVSS) 6.8risk”orta“).
Temmuz 2025'te Microsoft, sorunu çözecek güncellenmiş önyükleme yöneticilerini gönderdi. Secure Boot PCA-2011 veya CA-2023 sertifikaları ile imzalanmıştır. Artık bulunan güvenlik açığı, Güvenli Önyüklemenin yalnızca bir ikili programın sertifikasını kontrol etmesi, ancak sürümünü kontrol etmemesidir. Bu şekilde, PCA 2011 sertifikasıyla imzalanan güvenlik açığı bulunan “bootmgfw.efi” dosyası, güvenlik güncellemesinden önce başlatılabilir; güvenli önyükleme açısından bu, yamalı sürüm kadar iyidir.
Güvenli önyükleme sertifikaları kolayca iptal edilemez; bu durum özellikle eski 2011 sertifikalarının süresi dolduğunda belirgindir. Microsoft, sertifikaların güncellenmesi konusunda büyük çaba harcıyor ve güncellemenin hızlı bir şekilde gerçekleşebilmesi için özellikle kurumsal ağ yöneticilerine çok fazla yardım sağlıyor. Güncellenen bu sertifikalar dağıtılmadığı ve geçerliliğini yitiren sertifikalar iptal edildiği sürece, eski bir Önyükleme Yöneticisi aracılığıyla saldırı (düşürme saldırısı) mümkündür. BT araştırmacıları ayrıca GitHub'da güvenlik açığını gösteren bir kavram kanıtı (PoC) sağlıyor. Saldırı yalnızca birkaç dakika sürüyor ve karmaşık bir ekipman yok, yalnızca bir USB bellek ve fiziksel erişim var.
BT güvenlik araştırmacıları, bu tür saldırılara karşı korumayı geliştirmek için başlangıçta PIN isteği işlevinin etkinleştirilmesini öneriyor; bu, BitLocker saldırılarının çoğunu önlüyor. Bu saldırılara karşı güvenilir bir şekilde koruma sağlayan tek önlem budur. Microsoft ayrıca önyükleme yöneticisinin CA-2023 sertifikasına taşınmasını ve eski PCA-2011 sertifikasının iptal edilmesini de önerir. Microsoft'un 2023 kılavuzunda süreç açıklanıyor. Bu aynı zamanda Güvenli Sürüm Numarasını (SVN) kullanarak sürüm takibini de mümkün kılar. Bu karşı önlemler oldukça hantal olduğundan çok yaygın değildir.
Duyurudan sonra devamını okuyun
Ancak Ekim 2026'da eski PCA 2011 sertifikalarının geçerliliğinin sona ermesiyle bu saldırının kendi kendine çözülmesi bekleniyor. Ancak sunulan saldırı, yeni Güvenli Önyükleme sertifikalarına geçişin hızlı bir şekilde yapılması gerektiğini bir kez daha ortaya koyuyor.
(Bilmiyorum)
Bir yanıt yazın