Araştırmacılar, Windows Bitlocker şifrelemesini tamamen atlayan bir dizi kritik sıfır günlük güvenlik açıkını açıkladılar ve fiziksel erişimi olan saldırganların birkaç dakika içinde şifrelenmiş cihazlardan tüm korunan verileri çıkarmasına izin verdiler.
Microsoft’un Microsoft (Storm) ekibindeki Güvenlik Test ve Saldırgan Araştırmalarından Alon Leviev ve Netanel Ben Simon tarafından yapılan araştırma, Bitlocker’ın temel güvenlik vaadini zayıflatan Windows kurtarma ortamında (WinRE) temel kusurları ortaya koyuyor.
Dört kritik saldırı vektörü keşfedildi
Araştırmacılar, CVE-2025-48800, CVE-2025-48003, CVE-2025-48804 ve CVE-2025-48818 olarak belirlenen dört farklı sıfır günlük güvenlik açıkını tespit ettiler, her biri Windows geri kazanım sisteminin farklı bileşenlerini kullandılar.
Boot.sdi ayrıştırma güvenlik açığı (CVE-2025-48800): Bu saldırı, güvenilir WIM doğrulamasını atlamak için boot.sdi dosyasının WIM ofsetini manipüle eder. Saldırganlar, meşru kurtarma görüntülerini kötü amaçlı sürümlerle değiştirebilir ve sistem bütünlüğünün görünümünü korurken güvensiz kod yürütülmesine izin verebilir.
Reaktif.xml Sömürü (CVE-2025-48003): Güvenlik açığı, Winre’nin antivirüs işlemleri için tasarlanmış çevrimdışı tarama özelliğini kötüye kullanıyor. Araştırmacılar, şifreli hacimlere tam erişim sağlayan komut istemi oturumlarını ortaya çıkarmak için meşru bir zaman yolculuğu hata ayıklama yardımcı programı olan ttTracer.exe’yi kullandılar.
Güvenilir Uygulama Manipülasyonu (CVE-2025-48804): Bu istismar, Windows yükseltmelerinden sonra kayıtlı kalan meşru güvenilir bir uygulama olan setupplatform.exe’yi hedefler. Saldırı, yapılandırma dosyalarını manipüle ederek sonsuz bir zaman penceresi oluşturur ve saldırganların ayrıcalıklı komut istemlerini başlatan klavye kısayollarını kaydetmesine izin verir.
BCD Yapılandırma Saldırısı (CVE-2025-48818): WinRE işlemlerini yeniden yönlendirmek için önyükleme yapılandırma verilerini manipüle ederek en sofistike güvenlik açığı istismarından itme düğmesi sıfırlama (PBR) işlevselliği. Saldırganlar, korunmasız kurtarma bölümünde kötü amaçlı sıfırlama.xml dosyaları oluşturarak sistemi Bitlocker hacimlerini çözmeye zorlayabilir.
Bu güvenlik açıkları özellikle tehlikelidir, çünkü Winre’nin ana işletim sistemi hacminin kurtarma işlemleri için erişilebilir kaldığı “otomatik açma” durumunda çalışırlar. Hacim yeniden kilitlenmesini tetikleyen geleneksel Bitlocker baypas girişimlerinin aksine, bu istismarlar saldırı süreci boyunca tam sistem erişimini sürdürür.
Blackhat2025 sunumuna göre, saldırılar sadece temel fiziksel erişim gerektirir ve Shift+F10 gibi basit anahtar kombinasyonlarını kullanarak Winre’ye önyükleme yapabilen herkes tarafından yürütülebilir. Araştırmacılar, BitLocker korumalı sürücülerde depolanan hassas dosyalara, kimlik bilgilerine ve sistem yapılandırmalarına erişme gibi eksiksiz veri çıkarma özellikleri gösterdiler.
Güvenlik açıkları, Windows 10, Windows 11 ve Windows Server sürümleri de dahil olmak üzere kapsamlı bir Windows sistemlerini etkiler ve potansiyel olarak dünya çapında milyonlarca işletme ve tüketici cihazını etkilemektedir. Güvenlik uzmanları gerçek dünya etkisinin önemli ölçüde daha yüksek olabileceğini iddia etse de, Microsoft bunları “önemli” şiddet güvenlik açıkları CVSS puanlarıyla 6.8 ila 7.2 arasında sınıflandırmıştır.
Hırsızlık senaryolarında veri koruması için Bitlocker’a bağlı olan kuruluşlar, özellikle mobil işgücü cihazları ve güvenli olmayan ortamlardaki sistemler için derhal riskle karşı karşıyadır.
Microsoft, bu güvenlik açıklarını Temmuz 2025’in Yaması Salı güncellemelerinde ele aldı ve etkilenen tüm Windows sürümleri için belirli güvenlik yamalarını yayınladı. Şirket, kuruluşların aşağıdaki karşı önlemleri derhal uygulamalarını şiddetle tavsiye eder:
WinRE’nin şifreli hacimlere erişebilmesi için kullanıcı kimlik doğrulaması gerektirerek bu saldırıları önleyen önyükleme öncesi doğrulama için TPM+PIN kimlik doğrulamasını etkinleştirin. Düşüş reva ettirme saldırılarını önlemek için revize anti-rult koruması için revize hafifletme kullanın. Standart Windows güncelleme mekanizmaları aracılığıyla tüm Temmuz 2025 güvenlik güncellemelerini uygulayın.
Bu keşif, son yıllarda Microsoft’un şifreleme stratejisinin en önemli zorluklarından birini temsil ederek, güvenilir kurtarma mekanizmalarının uygun şekilde güvence altına alınmadığında nasıl saldırı vektörleri olabileceğini gösteriyor.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın