Windows 11 BitLocker'da Kritik Açık: Veriler Artık Güvende Değil!

Windows 11 işletim sisteminin varsayılan BitLocker disk şifreleme korumasını tamamen devre dışı bırakan "YellowKey" adlı yeni bir sıfırıncı gün (zero-day) açığı ortaya çıktı. "Nightmare-Eclipse" takma adını kullanan bir araştırmacı tarafından paylaşılan bu açık, cihazla fiziksel temas kuran kişilerin, şifrelenmiş sürücülere saniyeler içinde tam erişim sağlamasına olanak tanıyor.

Normal şartlarda BitLocker, disk içeriğini şifreleyerek yalnızca Güvenilir Platform Modülü (TPM) adı verilen güvenli donanımda saklanan anahtara sahip kişilerin verilere ulaşmasını sağlar. Özellikle hükümetlerle çalışan kurumlar için zorunlu bir güvenlik standardı olan bu koruma, YellowKey açığı ile etkisiz hale getiriliyor.

Saldırının merkezinde, Microsoft'un "Transactional NTFS" (İşlemsel NTFS) olarak adlandırdığı ve dosya işlemleri sırasında atomik işlem yapılmasına izin veren bir yapı yer alıyor. Saldırganlar, özel olarak hazırlanmış bir "FsTx" klasörünü USB sürücüye kopyalayıp hedef cihaza bağlayarak ve Windows kurtarma moduna girerek BitLocker kurtarma anahtarına ihtiyaç duymadan komut istemine (CMD.EXE) erişebiliyor. Bu durum, saldırganın sürücüdeki tüm verilere erişmesine, dosyaları kopyalamasına, değiştirmesine veya silmesine imkan tanıyor.

Kevin Beaumont ve Will Dormann gibi bağımsız güvenlik araştırmacıları tarafından doğrulanan açıkla ilgili olarak, fstx.dll dosyasındaki belirli fonksiyonların bu güvenlik atlamasını tetiklediği düşünülüyor. Microsoft, söz konusu güvenlik açığını incelediğini bildirdi ancak açığın tam olarak nasıl çalıştığına dair henüz detaylı bir açıklama yapmadı.