Microsoft, BitLocker'a gizlice bir arka kapı yerleştirmiş
Gönderilme zamanı: 15 May 2026, 20:40

"Nightmare-Eclipse" takma adıyla bilinen bir araştırmacı, BitLocker'ın tam hacimli şifrelemesinin tamamen atlanmasını sağladığı iddia edilen YellowKey adlı bir güvenlik açığını yayınladı. Araştırmacı, YellowKey'i şimdiye kadar karşılaştığı en "çılgın" güvenlik açıklarından biri olarak nitelendirdi ve Microsoft'u BitLocker'ın veri koruma sistemine muhtemelen meşru bir arka kapı yerleştirmekle suçladı.
Araştırmacıya göre, YellowKey daha önce bilinmeyen bir güvenlik açığı için alışılmadık bir durum sergiliyor. Nightmare-Eclipse, bu açığın, ekli "FsTx" klasörünü NTFS, FAT32 veya exFAT gibi Windows uyumlu bir dosya sistemiyle biçimlendirilmiş bir USB sürücüsüne kopyalayarak yeniden oluşturulabileceğini açıkladı .
Bu güvenlik açığı, FsTx dosyaları Windows EFI bölümüne kopyalanırsa ve şifrelenmiş disk geçici olarak sistemden ayrılırsa, USB sürücü olmadan da çalışabilir. Saldırgan, FsTx klasörünü yerleştirdikten sonra, BitLocker korumalı bir makineyi yeniden başlatmalı, Windows Kurtarma Ortamına girmeli ve belirli bir girdi dizisini izlemelidir.
İşlem doğru şekilde tamamlanırsa, BitLocker korumalı birimlere sınırsız erişim sağlayan bir komut kabuğu görünür. Parola gerekmez ve şifrelenmiş verilere göz atma, kopyalama ve diğer dosya işlemleri için tam erişim sağlanabilir.

Nightmare-Eclipse, YellowKey'deki güvenlik açığının, Microsoft tarafından BitLocker'a kasıtlı olarak yerleştirilmiş bir arka kapı olarak değerlendirilebileceğine inanıyor. Gerekçeleri ise, sorunu tetikleyen bileşenin yalnızca resmi WinRE imajında bulunmasıdır. Aynı bileşen standart Windows kurulum imajlarında da mevcuttur, ancak canlı sistemlerde gözlemlenen BitLocker'ı atlatma davranışını göstermez.
Araştırmacı, "Bunun kasıtlı olduğu gerçeğinden başka bir açıklama bulamıyoruz. Ayrıca, bilinmeyen bir nedenden dolayı, yalnızca Windows 11 (+Server 2022/2025) etkileniyor, Windows 10 etkilenmiyor" şeklinde açıklama yaptı.
Üçüncü taraf araştırmacılar, YellowKey'in Nightmare-Eclipse tarafından GitHub'da yayınlanan materyallerde açıklandığı gibi davrandığını doğruladı.
https://github.com/Nightmare-Eclipse/YellowKey
Buna ek olarak, araştırmacı ayrıcalık yükseltmeyi mümkün kıldığı söylenen ikinci bir güvenlik açığı olan GreenPlasma'yı yayınladı . SYSTEM düzeyinde erişim elde etmek için tam bir prototip kod yayınlamadılar, bunun yerine önümüzdeki ayki Yama Salısı'ndan önce daha fazla ayrıntı açıklayabileceklerini belirttiler.
Nightmare-Eclipse, Microsoft'u ve şirketin dış güvenlik araştırmacılarını hedef almasıyla biliniyor. Daha önce "Chaotic Eclipse" takma adıyla faaliyet gösteren grup, Microsoft'u kariyerlerine ve itibarlarına zarar vermekle suçlarken, Red Sun ve diğer güvenlik açıklarını kamuya açık prototip kodlarıyla birlikte yayınladı.
YellowKey'in iddia edilen arka kapı davranışına gelince, bunun önlenmesi nispeten kolaydır. Güvenlik uzmanları genellikle tek bir şifreleme sistemine güvenmekten kaçınmayı ve bunun yerine VeraCrypt gibi iyi değerlendirilmiş tam disk şifreleme alternatiflerini değerlendirmeyi önermektedir .
Kaynak :
https://www.techspot.com/news/112410-se ... eases.html