Şifreleme ve Anahtar Yönetimi, Güvenlik Operasyonları
Araştırmacı Şifreleme Anahtarını Çıkarmak için Bitpixie Saldırı Taktiklerini Gösteriyor
Akşaya Asokan (asokan_akshaya) •
31 Aralık 2024
Yeni araştırmalar, Windows BitLocker disk şifreleme özelliğindeki önceden yamalanmış bir kusurun, bilgisayar korsanlarının bilgilerin şifresini çözmesine olanak tanıyan saldırılara açık olduğunu ortaya çıkardı.
Ayrıca bakınız: Kodu Kırmak: Makine Kimliklerini Korumak
Almanya’da yakın zamanda sonuçlanan Kaos İletişim Kongresi’nde konuşan güvenlik araştırmacısı Thomas Lambertz, CVE-2023-21563 olarak izlenen orta önemdeki bir kusur için Microsoft yamasının saldırıları tam olarak engellemediğini söyledi. Lambertz, Microsoft’un analizinin aksine, kusurun ağ üzerinden istismar edilebileceğini de söyledi.
Lambertz istismar taktikleri hakkında “Bunların hepsi yalnızca ağ” dedi. “Tek yapmamız gereken bir USB aygıtını takmak ve kusurdan yararlanmak için PXE önyüklemesini kullanmaktı.”
Lambertz, tamamen güncellenmiş bir Windows 11 cihazına yapılan saldırıyı, Windows cihazlarının önyükleme ve kurtarma işlemleri sırasında belleği veya şifrelemeyi işleme şeklinden kaynaklanan zayıflıklardan yararlanan “bitpixie” adı verilen bir taktik kullanarak gösterdi.
Araştırmacı, cihazı kurtarma modunda yeniden başlatıp Windows önyükleyici kullanarak düşürülmüş bir sürümde çalıştırarak, cihazın şifreleme anahtarını unutmasını istedi.
Lambertz, eski önyükleyici sürümlerinin sertifikasyonunu iptal etmek için yeterli mekanizmaların mevcut olması nedeniyle sistem belleğine erişim elde ettiğini söyledi. Verilerin şifresini çözmek için ana anahtar da dahil olmak üzere sistem belleğinden veri çıkardı.
Lambertz, “Bu saldırıyı önlemek için yapabileceğiniz tek şey, BIOS’taki tüm ağ yığınını devre dışı bırakmaktır. Bu şekilde, ne takarsanız takın PXE önyüklemesi mümkün olmaz” dedi.
Lambertz, Microsoft’un sorunun farkında olduğunu ve yeterli yama uygulaması ile güvenlik güncellemelerinin eski cihazları çökertmemesi arasında bir denge kurmaya çalıştığını söyledi.
Lambertz, “Microsoft, doğru tahmin etmedikleri her ürün yazılımı güncellemesinin BitLocker’ı bozabileceği garip bir konumda. Bu yüzden bunu yapmıyorlar” dedi.
Microsoft, geçerli önyükleme sertifikasının 2026’da sona ermesinden sonra yenilenmemesini düşünürken Lambertz, önerilen hamlenin eski, güvenli olmayan sertifikaların kullanımına izin vermek anlamına geleceği için “kaosa” yol açabileceğini ekledi. Microsoft, yorum talebine hemen yanıt vermedi.