Microsoft, geçen hafta Nightmare Eclipse takma adlı bir güvenlik araştırmacısı tarafından ifşa edilen YellowKey adlı Windows BitLocker sıfırıncı gün açığı için azaltma önlemlerini yayınladı. CVE-2026-45585 numarasıyla takip edilen bu YellowKey açığı, saldırganların korumalı sürücülere erişmesine olanak tanırken Microsoft şu ana kadar resmi bir güvenlik güncellemesi yayınlamadı. Şirket, güvenlik güncellemesi kullanıma sunulana kadar kurumların bu açığa karşı korunması için geçici önlemleri duyurdu.

Windows BitLocker Zero-Day Nasıl Çalışıyor ve Hangi Sistemleri Etkiliyor?

Nightmare Eclipse istismarı kapsamında açıklanan bilgilere göre, bu Windows BitLocker zero-day zafiyetini istismar etmek için özel olarak hazırlanmış ‘FsTx’ dosyalarının bir USB sürücüye veya EFI bölümüne yerleştirilmesi, WinRE ortamına yeniden başlatılması ve ardından CTRL tuşuna basılı tutularak BitLocker korumalı depolama birimine sınırsız WinRE kabuk erişimi elde edilmesi gerekiyor. Araştırmacı, bu açığı Microsoft’un kasıtlı olarak koyduğu bir arka kapı olarak nitelendirirken iddiasını kanıtlayan bir kavram kanıtı kodu da yayınladı.

Geçtiğimiz ay aynı araştırmacı, BlueHammer (CVE-2026-33825) ve RedSun (tanımlayıcısız) adlı yerel ayrıcalık yükseltme sıfırıncı gün açıklarını da ifşa etmişti. Her iki güvenlik açığının da şu anda aktif saldırılarda kullanıldığı tespit edildi. Araştırmacı ayrıca saldırganların SYSTEM kabuğu elde etmesine olanak tanıyan GreenPlasma adlı bir ayrıcalık yükseltme açığı ile standart kullanıcı izinlerine sahip saldırganların Microsoft Defender tanım güncellemelerini engellemesini sağlayan UnDefend adlı bir başka sıfırıncı gün açığını da sızdırdı.

FsTx Otomatik Kurtarma Kaldırılarak Güvenlik Açığı Engellenebiliyor

Microsoft, Salı günü yayınladığı danışma belgesinde, YellowKey açığının “koordineli güvenlik açığı ifşa en iyi uygulamalarını ihlal ederek” kamuya açıklandığını belirtti. Şirket, güvenlik güncellemesi hazır olana kadar bu açığa karşı koruma sağlamak için uygulanabilecek azaltma kılavuzu sağlamak amacıyla CVE numarasını yayınladığını açıkladı. YellowKey saldırılarını azaltmak için Microsoft, Oturum Yöneticisi’nin BootExecute REG_MULTI_SZ değerinden autofstx.exe girdisinin kaldırılmasını öneriyor.

Tharros’ta baş güvenlik açığı analisti Will Dormann, bu FsTx otomatik kurtarma değişikliğinin WinRE imajı başlatıldığında FsTx Otomatik Kurtarma Yardımcı Programı autofstx.exe’nin otomatik olarak başlamasını engellediğini açıkladı. Bu değişiklikle birlikte winpeshl.ini dosyasını silen Transactional NTFS yeniden oynatma işlemi artık gerçekleşmiyor. Bu geçici çözüm, Microsoft resmi bir yama yayınlayana kadar sistemlerin korunmasına yardımcı olacak.

Microsoft ayrıca müşterilere, zaten şifrelenmiş cihazlarda BitLocker yapılandırmasını “yalnızca TPM” modundan “TPM+PIN” moduna PowerShell, komut satırı veya denetim masası aracılığıyla değiştirmelerini tavsiye ediyor. Bu TPM+PIN koruması, başlangıçta sürücünün şifresini çözmek için bir ön başlatma PIN’i gerektirecek ve YellowKey saldırılarını engellemesi bekleniyor.

Henüz şifrelenmemiş cihazlarda ise yöneticiler, Microsoft Intune veya Grup İlkeleri aracılığıyla “Başlangıçta ek kimlik doğrulaması gerektir” seçeneğini etkinleştirirken “TPM başlangıç PIN’ini yapılandır” seçeneğinin “TPM ile başlangıç PIN’i gerektir” olarak ayarlandığından emin olmalı. Nightmare Eclipse daha önce, bu açıklama sürecinin Microsoft’un Güvenlik Yanıt Merkezi’nin geçmişte bildirdiği diğer güvenlik açıklarını ele alma şekline bir protesto olduğunu belirtmişti.