2024 yılının sonunda düzenlenen Chaos Computer Club’ın (38C3) kongresinde güvenlik uzmanı Thomas Lambertz, Microsoft’un Bitlocker şifreleme sisteminin nasıl bypass edilebileceğini gözler önüne serdi.
Bitlocker Nedir ve Nasıl Çalışır?
Microsoft, Bitlocker’ı Windows işletim sistemlerinde kullanıcıların verilerini şifreleyerek koruma amacıyla geliştirdi. Bu sistem, genellikle güvenlik amacıyla kullanılan ve Windows başlatıldığında otomatik olarak kilidi açılan TPM (Trusted Platform Module) çipiyle entegre çalışır. Kullanıcılar, ek bir şifre girmeden sadece oturum açarak şifrelenmiş verilere erişebilirler.
Güvenlik Açığı: bitpixie (CVE-2023-21563)
Lambertz’in sunduğu senaryoda, “bitpixie” olarak bilinen ve CVE-2023-21563 koduyla tanımlanan bir güvenlik açığı kullanılıyor. Bu açık, Microsoft tarafından Kasım 2022’de yamalanmış olsa da, “downgrade saldırısı” adı verilen bir yöntemle halen kötüye kullanılabiliyor. Bu saldırı, eski bir Windows önyükleme yükleyicisinin Secure Boot üzerinden yüklenmesiyle başlıyor.
Downgrade Saldırısı Nasıl İşliyor?
- Eski Önyükleme Yükleyicisi Kullanımı: Güvenli Önyükleme’yi (Secure Boot) atlatan eski bir Windows önyükleyicisi yükleniyor. Bu işlem, Windows’un güvenli modda çalıştırılmasını sağlıyor.
- Hafıza Dökümü: Linux tabanlı bir sistem, LAN üzerinden Windows bilgisayarıyla bağlantı kurarak RAM’den bir hafıza dökümü oluşturuyor. Bu dökümde, Bitlocker’ın VMK (Volume Mount Key) anahtarı yer alıyor.
- Şifreleme Anahtarının Çıkarılması: Hafıza dökümünden alınan anahtar, şifrelenmiş Bitlocker sürücüsünü çözmek için kullanılıyor.
Bu saldırı sonucunda, kullanıcı oturum şifresi veya kurtarma anahtarı olmadan, şifrelenmiş veriler çözülebiliyor.
Lambertz’in sunumu, Bitlocker gibi güçlü bir şifreleme sisteminin bile belirli güvenlik açıkları nedeniyle nasıl tehlikeye düşebileceğini bir kez daha gözler önüne serdi. Bu tür saldırılara karşı kullanıcıların aşağıdaki önlemleri alması önem taşıyor:
- İşletim sistemlerini ve güvenlik yamalarını güncel tutmak,
- Fiziksel erişimi korumak,
- Güvenli Önyükleme’yi devre dışı bırakmamak.
Kongrede yapılan bu sunum, siber güvenliğin her zaman dikkat ve güncellemelerle güçlendirilmesi gerektiğini bir kez daha hatırlattı. Bitlocker’ın mevcut güvenlik açıkları üzerine daha fazla bilgiye ve çözüme ihtiyaç duyulduğu açıkça görülüyor.
