Notebookcheck Logo

Microsoft YellowKey BitLocker bypass'ını hafifletiyor, henüz yama yok

Siber saldırı düzenleyen çok ekranlı bir kurulumda kapüşonlu figür.
ⓘ Magnific.com/author/dcstudio
Siber saldırı düzenleyen çok ekranlı bir kurulumda kapüşonlu figür.
Microsoft, fiziksel saldırganlara şifrelenmiş Windows sürücülerine erişim sağlayan bir BitLocker atlaması olan YellowKey (CVE-2026-45585) için hafifletme adımları yayınladı.
Windows Software Security Microsoft Laptop / Notebook Desktop

Microsoft, çalışan bir kavram kanıtının koordineli bir açıklama olmaksızın yayınlanmasının ardından, şu anda CVE-2026-45585 olarak izlenen BitLocker baypası olan YellowKey için hafifletme kılavuzu yayınladı. Henüz tam bir güvenlik güncellemesi mevcut değil. Şirket kalıcı bir düzeltme üzerinde çalıştığını doğruladı ve etkilenen Windows sürümlerindeki yöneticileri geçici adımları derhal uygulamaya çağırıyor.

Hafifletme ne işe yarar

Açık, Transactional NTFS (TxF) aracılığıyla winpeshl.ini dosyasını silerek çalışırbu da WinRE kurtarma ortamının standart kurtarma arayüzünü yüklemek yerine sınırsız bir kabuk oluşturmasına neden olur. Fiziksel erişimi olan bir saldırgan buradan, kimlik bilgileri, yazılım yüklemesi veya ağ bağlantısı gerektirmeden sürücünün içeriğine tam, şifrelenmemiş görünürlük kazanır.

Microsoft'un hafifletme önlemi, WinRE görüntüsü içinde FsTx Otomatik Kurtarma Yardımcı Programı olan autofstx.exe'yi devre dışı bırakarak sorunu çözmektedir. Yöneticiler, etkilenen her cihaza WinRE görüntüsünü monte etmeli, sistem kayıt defteri kovanını yüklemeli ve autofstx.exe girişini Oturum Yöneticisi'nin BootExecute değerinden kaldırmalıdır. Microsoft ayrıca yüksek riskli cihazların TPM-only BitLocker'dan taşınmasını önermektedir tPM+PIN moduna geçirir, bu da fiziksel istismarı çok daha zor hale getirir.

Bu bir geçici çözümdür, yama değildir. Microsoft tam güncellemenin ne zaman geleceğini doğrulamamıştır. Bu gerçekleşene kadar, etkilenen bir Windows sürümünü çalıştıran, USB bağlantı noktasına ve kurtarma moduna yeniden başlatma özelliğine sahip herhangi bir makine, kamuya açık exploit kodunu elinde bulunduran herkes için uygun bir hedeftir.

Etkilenen sistemler ve yöneticilerin şimdi yapması gerekenler

CVE-2026-45585, 6.8 CVSS puanı taşımakta ve fiziksel erişim gerektirmektedir, ancak Microsoft, kavram kanıtının zaten halka açık olduğu göz önüne alındığında, istismarı "Daha Olası" olarak değerlendirmektedir. Microsoft'un danışmanlığı, Windows Server 2025 ve Windows Server 2025 Server Core ile birlikte x64 sistemlerde Windows 11 24H2, 25H2 ve 26H1'e odaklanmaktadır. Windows 10, WinRE yapılandırmasındaki farklılıklar nedeniyle sorun yaşamamaktadır. Kamuya açık teknik analizler ayrıca Windows Server 2022'nin aynı WinRE kurtarma yolu kusuru aracılığıyla belirli dağıtım koşulları altında potansiyel olarak savunmasız olduğunu işaret etmektedir, ancak Microsoft henüz resmi olarak danışmanlığında ele almamıştır.

Nightmare-Eclipse olarak bilinen istismarın arkasındaki araştırmacı, Microsoft herhangi bir kılavuz yayınlamadan önce bunu kamuya açıkladı. Microsoft bu olayı koordineli güvenlik açığı ifşa uygulamalarının ihlali olarak nitelendirdi.

Google LogoAdd as a preferred source on Google
Mail Logo

İlgili makaleler

> Notebooklar Hakkında Aradığınız Herşey > Haberler > Haber Arşivi > Haber arşivi 2026 05 > Microsoft YellowKey BitLocker bypass'ını hafifletiyor, henüz yama yok
Darryl Linington, 2026-05-21 (Update: 2026-05-21)