Birim Şifreleme Anahtarlarını Çıkarmak İçin Windows 11 BitLocker Şifrelemesi Atlandı

Araştırmacılar, Windows 11’in BitLocker şifrelemesini atlayarak Tam Birim Şifreleme Anahtarlarının (FVEK’ler) bellekten çıkarılmasını sağlayan bir yöntem gösterdi.

Bu güvenlik açığı, fiziksel erişim saldırılarıyla ilişkili risklerin altını çiziyor ve bellek koruma mekanizmalarındaki olası zayıflıkları vurguluyor.

Saldırı, çalışma sırasında bilgisayarın RAM içeriğinin yakalanması etrafında dönüyor.

Bir saldırganın bir cihaza fiziksel erişimi varsa, onu aniden yeniden başlatabilir ve FVEK’ler de dahil olmak üzere hassas bilgileri çıkarmak için hafızayı boşaltabilir.

Bu süreç, sistem çalışırken şifreleme anahtarlarının geçici olarak bellekte saklanması gerçeğinden yararlanır.

Ancak teknik kusursuz değildir. Güç kesildiğinde RAM içerikleri hızla bozulur, bu da kesinti süresini en aza indirmeyi çok önemli hale getirir.

Araştırmacılar, bu bozulmayı azaltmak için saldırganların RAM’i fiziksel olarak soğutmak veya harici kaynakları kullanarak güç dağıtımını sürdürmek gibi yöntemler kullanabileceğini söyledi.

Gösterilerden birinde saldırgan, gücü kesmeden sistemi yeniden başlatmak ve bellek bütünlüğünü korumak için anakart üzerindeki sıfırlama pinlerine kısa devre yaptırdı.

Güvenli Önyüklemeyi Atlamak

Yetkisiz yazılımların başlatma sırasında çalışmasını önlemek için tasarlanmış bir güvenlik standardı olan Güvenli Önyükleme, başka bir koruma katmanı sunar.

Bununla birlikte, bilinen güvenlik açıklarına sahiptir ve dolgular veya diğer istismarlar gibi teknikler kullanılarak atlanabilir. Bu yöntemler, saldırganların bellek analizi için özel araçlar yüklemesine olanak tanır.

Adım Adım Saldırı Süreci

1. Önyüklenebilir bir USB Aygıtı Oluşturun: Hedef sistemin RAM’inden daha büyük bir USB sürücü, bellek dökümlerini çıkarmak için özel bir yazılımla hazırlanır.

2. Hedef Sistemi Aniden Yeniden Başlatın: Sistem, bellekteki şifreleme anahtarlarını yakalamak için kritik bir anda (örneğin, Windows yüklenirken ancak oturum açma ekranına ulaşmadan önce) yeniden başlatılır.

3. USB’den önyükleme: Saldırgan, USB aygıtından özel bir UEFI kabuğuna önyükleme yapar ve bellek içeriğini boşaltmak için araçları çalıştırır.

4. Bellek Dökümlerini Analiz Edin: Dökülmüş veriler, belirli bellek havuzlarında saklanan kriptografik anahtarların yerini belirlemek için “xxd” ve “searchMem” gibi araçlar kullanılarak analiz edilir.

Anahtar Kurtarma

FVEK anahtarı, BitLocker’ın kilitlenme dökümü filtre modülüne (“dumpfve.sys”) karşılık gelen “dFVE” gibi belirli Windows çekirdeği bellek havuzu etiketleri altında bulundu.

Bu etiket, kullanılan şifreleme algoritmasını belirten meta verilerle başlayan şifreleme anahtarlarını tutarlı bir şekilde ortaya çıkardı (örneğin, XTS-AES-128).

Bu güvenlik açığı, BitLocker gibi gelişmiş şifreleme sistemlerinin bile fiziksel erişim saldırılarına karşı bağışık olmadığını gösteriyor.

Microsoft, kapatma sırasında anahtar imhası gibi teknikler kullanırken, kalan anahtarlar belirli koşullar altında bellekte kalır.

Riskleri azaltmak için:

• Kullanıcılar Güvenilir Platform Modülü (TPM) gibi donanım tabanlı güvenlik özelliklerini etkinleştirmelidir.
• Kuruluşlar, yetkisiz erişimi önlemek için fiziksel güvenlik önlemleri almalıdır.
• Microsoft’un, geçici bellekteki riske maruz kalmayı azaltmak için anahtar yönetimi uygulamalarını geliştirmesi gerekebilir.

Bu keşif, özellikle fiziksel erişim söz konusu olduğunda hiçbir güvenlik sisteminin tamamen kusursuz olmadığını hatırlatıyor.

ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin