Microsoft tarafından geliştirilen ve Windows işletim sistemlerinde tam disk şifreleme çözümü olarak kullanılan BitLocker ile ilgili yeni bir iddia gündeme geldi. “YellowKey” adı verilen bir exploit’in, parola ya da kurtarma anahtarı gerektirmeden şifrelenmiş disklere erişim sağlayabildiği öne sürüldü. Uzun yıllardır özellikle kurumsal cihazlarda veri güvenliği amacıyla tercih edilen BitLocker’ın, fiziksel olarak ele geçirilen cihazlarda bile verileri koruduğu biliniyor. Ancak ortaya atılan bu iddia, sistemin temel güvenlik mimarisine ilişkin soru işaretlerini beraberinde getirdi. İddiayı ortaya atan güvenlik araştırmacısı, açığın sıradan bir yazılım hatasından farklı olduğunu savunarak dikkatleri üzerine çekti. Konuyla ilgili resmi bir açıklama ise henüz yapılmadı.
YellowKey Nasıl Çalışıyor
“Nightmare-Eclipse” takma adını kullanan bir güvenlik araştırmacısı tarafından paylaşılan bilgilere göre YellowKey, Windows Recovery Environment üzerinden çalıştırılıyor. İddiaya göre saldırgan, “FsTx” adlı klasörü belirli dosya sistemleriyle biçimlendirilmiş bir USB belleğe kopyalıyor ve BitLocker ile korunan sistemi yeniden başlatarak kurtarma ortamına giriyor. Burada uygulanan belirli bir işlem dizisinin ardından komut satırı erişimi elde edildiği ve şifreli sürücü üzerindeki korumanın devre dışı bırakılabildiği belirtiliyor. Bu yöntemde parola ya da kurtarma anahtarına ihtiyaç duyulmadığı öne sürülüyor.
Araştırmacı, ilgili bileşenin yalnızca resmi Windows Recovery Environment imajı içinde bulunduğunu ve Windows 11 ile Windows Server 2022 ve 2025 sürümlerinde gözlemlendiğini ifade etti. Windows 10’da aynı davranışın görülmediği aktarıldı. YellowKey’in GitHub üzerinden paylaşılan materyallerini inceleyen bazı araştırmacıların da iddiaları doğruladığı bildirildi.
Microsoft cephesinden konuya ilişkin resmi bir değerlendirme yapılmadı. İddiaların doğrulanması halinde, BitLocker’ın güvenlik yapısına yönelik kapsamlı bir inceleme sürecinin başlayabileceği belirtiliyor.
