Daha önce “RedSun”, “UnDefend” ve “BlueHammer” güvenlik açıklarını ortaya koyan siber güvenlik araştırmacısı, Windows güvenlik açıklarına ilişkin diğer yayınlarına devam ediyor. “NightmareEclipse” (GitHub) veya “Chaotic Eclipse” (Blogspot), Windows BitLocker sürücü şifrelemesinde ciddi bir güvenlik açığı olan “YellowKey”i keşfetti. Ayrıca bir Windows sürücüsünde başka bir “MiniPlasma” ayrıcalık yükseltme kusuru keşfetti.
Duyurudan sonra devamını okuyun
Microsoft, 2020'de “Windows Bulut Dosyaları Mini Filtresi”ndeki hak yükseltme açığını kapatmaya zaten çalışmıştı (CVE-2020-17103, CVSS) 7.0risk”yüksek“). Yamanın bir noktada mı çekilip çekilmediği ya da Microsoft'un onu göndermediği belli değil. Her durumda, Google'ın Project Zero'su tarafından bildirilen güvenlik açığı hala savunmasız. GitHub'daki kavram kanıtlama (PoC) istismarının, saldırganların onu SİSTEM haklarını kazanmak için nasıl kullanabileceğini göstermesi gerekiyor, ancak Google'ın eski PoC'si de hala çalışıyor.
Yerel erişimle BitLocker'ın kilidini istediğiniz zaman açın
BitLocker'daki “YellowKey” güvenlik açığı biraz daha kafa karıştırıcıdır. Yakın zamanda ortaya çıkan BitUnlocker tabanlı saldırıda olduğu gibi yerel erişim gerekiyor. Ancak basit bir USB bellek yeterlidir. Saldırganlar “System Volume InformationFsTx” klasörünü klasöre kopyalar. Dosya sistemi FAT, FAT32, exFAT veya NTFS gibi Windows ile uyumlu olmalıdır. Şimdi bu çubuğu BitLocker'ın etkin olduğu bir bilgisayara bağlayın. Başlatma sırasında Shift tuşunu basılı tutarak sistemin Windows kurtarma ortamına önyükleme yapması gerekir. Saldırganlar Yeniden Başlat'a tıklar ve Shift tuşu yerine Ctrl tuşunu basılı tutar. Bu, BitLocker tarafından etkili bir şekilde korunan, sürücüye sınırsız erişime sahip bir kabuk başlatır. Windows 11 ile Server 2022 ve 2025'te çalışmalıdır; Windows 10 kurtarma ortamı etkilenmez. *Elipse bir blog yazısında, şifre çözme ve TPM korumasından önce PIN girilmesine dayanan bir ortam olan BitUnlocker'dan türetilen saldırılara yardımcı olan şeyin bu durumda görünüşte etkisiz olduğunu yazıyor.
Siber güvenlik uzmanı Will Dormann bu açığı test etti ve bulgularını Mastodon'da bildirdi. Ona göre, BitLocker sürücüsüne erişim sağlayan kabuğa erişmek için Ctrl tuşunu basılı tutmak gerekli değildir. Tam işlevsellik şu anda hala belirsiz, ancak bir sürücünün (Transactional NTFS'nin parçası olan) “System Volume InformationFsTx” klasörünün diğer sürücülerin içeriğinin kilidini açmak için kullanılabileceği anlaşılıyor. Ancak Dormann'ın gönderisinin altındaki bir kullanıcı raporu, C sürücüsünün serbest bırakıldığını, ancak D sürücüsünün serbest bırakılmadığını gösteriyor.
Blog yazısında *Eclipse ayrıca Microsoft'un rapor edilen güvenlik açıklarından birine sessizce yama uyguladığını da yazıyor. Nisan ortasındaki “RedSun” güvenlik açığı saldırganlara yönetici hakları veriyor. Görünüşe göre bu sorun, CVE güvenlik açığı hakkında tek bir kelime bile edilmeden geçen haftaki Salı Yaması güncellemeleriyle giderildi.
Duyurudan sonra devamını okuyun
(Bilmiyorum)
Bir yanıt yazın