GreatXML: yönetici erişimi gerektiren bir BitLocker bypass'ı
Güvenlik araştırmacısı Nightmare Eclipse, GitHub üzerinden GreatXML adlı exploit'i yayınladı ve Windows BitLocker şifrelemesini atlattığını iddia etti. Araştırmacı, GreatXML'nin dört saatte keşfedildiğini ve tamamen tesadüfi bir bulgu olduğunu söyledi. Ancak exploit'i test eden bağımsız güvenlik araştırmacısı Will Dormann, saldırının zaten BitLocker'ı devre dışı bırakabilecek erişim seviyesi gerektirdiğini buldu.
GreatXML'nin çalışma prensibi: unattend.xml ve Recovery/WindowsRE/ReAgent.xml dosyalarını recovery partition'un kök dizinine kopyalayıp Shift tuşuna basılı tutarak Restart'a tıklamak ve Windows Recovery Environment'a (WinRE) geçiş yapmak. Araştırmacı, Microsoft Defender Offline Scan özelliğini daha önce çalıştırmış kullanıcıların otomatik olarak savunmasız olduğunu belirtti.
Dormann'ın test bulguları bu iddiayı çürütüyor. Komut satırı penceresi yalnızca Defender Offline taraması başlatıldığında açılıyor ve bu durumda bile yönetici kimlik bilgileri ve zaten sisteme giriş yapmış bir kullanıcı oturumu gerekiyor. Dormann üç farklı Windows 11 kurulumunda test yaptı ve dosyaların WinRE'ye yerleştirilmesinin Windows'un otomatik olarak Defender Offline mod'a girmesini tetiklemediğini doğruladı.
Dormann'ın testleri ile ortaya çıkan gereksinimler
Dormann'ın bulguları, GreatXML'nin teorik bir bypass tekniğinden çok daha sınırlı olduğunu gösteriyor. Exploit'in başarılı olması için gereken koşullar:
- Sisteme fiziksel erişim - Oturum açmış bir kullanıcı hesabı - Yönetici düzeyinde kimlik bilgileri - Recovery partition'a dosya kopyalama yetkisi
Bu koşullar bir arada düşünüldüğünde, exploit'in sağladığı erişim seviyesinin zaten BitLocker'ı devre dışı bırakmaya yeterli olduğu ortaya çıkıyor. Yönetici erişimi olan bir saldırgan, exploit'e ihtiyaç duymadan BitLocker korumasını manuel olarak kaldırabilir veya şifreleme anahtarlarına doğrudan erişim sağlayabilir.
Windows 11, Defender Offline Scan çalıştırıldıktan sonra bile exploit'in iddia ettiği otomatik tetikleyici mekanizmasını göstermedi. Bu, GreatXML'nin ilk yazısında tanımlanan saldırı senaryosunun eksik veya yanlış detaylara dayandığını gösteriyor.
Dormann exploit'in tamamen işlevsiz olmadığını buldu—recovery partition'a dosya yerleştirilmesi ve WinRE'ye reboot işlemi belirli bir kurulum senaryosunda command prompt açabiliyor. Ancak bu noktada saldırgan zaten sisteme administratif erişim sağlamış durumda olduğundan, BitLocker "bypass"ı olarak tanımlanması yanıltıcı.
Yönetici erişim gerekliliği neden koruma sağlıyor
GreatXML gibi exploit'ler, log kayıtlarında ve güvenlik izleme araçlarında daha az iz bırakabilir. Yönetici bir kullanıcı BitLocker'ı manuel olarak devre dışı bıraktığında, bu işlem Event Log'da kaydedilir ve kurum ağlarındaki SIEM (Security Information and Event Management) sistemleri tarafından tespit edilebilir. GreatXML, recovery partition üzerinden yapılan düşük seviyeli bir müdahaleyle bu tür loglamanın bir kısmını atlayabilir—ancak dosya kopyalama ve reboot işlemleri yine de sistemde iz bırakır.
Ancak kurum ortamlarında BitLocker anahtarları genellikle Active Directory veya Azure AD'ye emanet edilir. Yönetici erişimi olan bir saldırgan bu anahtarları doğrudan alabilir ve şifrelenmiş verilere erişebilir. GreatXML'nin bu senaryoda sağladığı ek değer belirsiz.
Exploit'in asıl önemi, Microsoft'un WinRE ve recovery partition mekanizmalarındaki güvenlik modelini sorgulatabiliyor olması. Recovery partition, kullanıcı seviyesi korumaların devre dışı kaldığı bir ortam ve BitLocker'ın güvendiği Trusted Platform Module (TPM) doğrulamaları bu ortamda farklı işliyor. GreatXML, bu geçiş sürecinde bir güven boşluğu olduğunu gösteriyor—ancak bu boşluğun exploit edilebilmesi için zaten yüksek seviye erişim gerekiyor.
Chaotic Eclipse'in sorumsuz disclosure deseni ve Microsoft'un yanıtı
GreatXML, Chaotic Eclipse'in Microsoft'a karşı gerçekleştirdiği sekizinci zero-day yayınıdır. Araştırmacı, daha önce YellowKey (CVE-2026-45585) adlı bir BitLocker bypass exploit'ini yayınlamıştı—Microsoft bu açığı yamaladı. GreatXML'den bir gün önce, aynı araştırmacı RoguePlanet adlı bir Microsoft Defender zero-day açığını GitHub'da yayınladı. RoguePlanet, yerel bir saldırganın SYSTEM seviyesine privilege escalation yapmasına izin veriyor.
Chaotic Eclipse, bu açıkları Microsoft'un resmi güvenlik kanalları üzerinden bildirmiyor. Araştırmacı, Microsoft'un daha önce GitHub hesabını yasakladığını ve yasal işlem tehdidi yaptığını belirtiyor. Microsoft, The Register'a verdiği açıklamada, RoguePlanet zero-day'ini araştırdığını ancak GreatXML hakkında acil yorum yapmadığını söyledi.
Bu disclosure deseni, güvenlik topluluğunda tartışmalı. Responsible disclosure, açık keşfedildikten sonra vendor'a makul bir zaman tanınmasını ve patch hazır olana kadar detayların gizli tutulmasını gerektirir. Chaotic Eclipse'in yöntemi tam tersi: açıklar hemen GitHub'da yayınlanıyor ve hiçbir vendor koordinasyonu yapılmıyor.
Bu yaklaşımın savunucuları, vendor'ların düşük öncelikli güvenlik açıklarını görmezden gelmesine karşı bir baskı mekanizması olduğunu söylüyor. Eleştirmenler ise, bu yaklaşımın kötü niyetli aktörlere hemen silah sağladığını ve kullanıcıları gereksiz riske attığını belirtiyor. GreatXML örneğinde, exploit'in pratik tehdidi sınırlı olduğu için sorumsuz disclosure'ın etkisi de sınırlı kaldı. Ancak RoguePlanet gibi daha etkili bir zero-day'in aynı şekilde yayınlanması ciddi sonuçlar doğurabilir.
Microsoft'un Chaotic Eclipse ile yasal bir ihtilaf içinde olması, patch sürecini de karmaşıklaştırıyor. Araştırmacının bulduğu açıklar gerçek olsa bile, Microsoft bu açıkları resmi kanallardan rapor edilmemiş ve işbirliği yapılmamış sorunlar olarak değerlendiriyor.
BitLocker koruması hala geçerli mi
GreatXML exploit'i, BitLocker'ın genel güvenlik modelini kırmıyor. BitLocker'ın temel tehditlere karşı koruması—kayıp veya çalınan cihazlarda veri güvenliği, yetkisiz fiziksel erişime karşı disk şifrelemesi—bu exploit sonrasında da geçerliliğini koruyor.
BitLocker'ın koruduğu tipik senaryolar:
- Kayıp veya çalınan dizüstü bilgisayar: Hırsız cihazı açıp işletim sistemini boot etmeye çalıştığında BitLocker şifreleme anahtarını talep eder. GreatXML bu senaryoda işe yaramaz çünkü saldırgan sisteme giriş yapamaz. - Oturum açmamış bir kullanıcı senaryosu: Fiziksel erişimi olan ancak kullanıcı kimlik bilgilerine sahip olmayan biri, GreatXML ile sisteme giremez. - Kurumsal veri sızıntısı senaryosu: Eski cihazların imha edilmesi veya satılması sırasında BitLocker şifrelemesi veri kurtarılmasını önler—bu senaryo da GreatXML'den etkilenmez.
GreatXML'nin etkili olduğu senaryo son derece dar: saldırgan zaten sisteme fiziksel erişime sahip, kullanıcı hesabı giriş yapmış durumda ve saldırgan yönetici kimlik bilgilerini biliyor. Bu durumda saldırgan, GreatXML olmasa bile BitLocker'ı devre dışı bırakabilir.
Windows güvenlik ekibinin GreatXML'e patch çıkarıp çıkarmayacağı henüz belli değil. Exploit, yönetici seviyesi erişim gerektirdiği için Microsoft bunu "privilege escalation" değil, "post-exploitation technique" olarak sınıflandırabilir. Bu durumda exploit resmi bir CVE numarası almayabilir ve sadece WinRE mekanizması üzerinde küçük bir düzenleme yapılabilir.
