Giriş
GreatXML olarak adlandırılan yeni bir güvenlik açığı, saldırganların Windows kurtarma bölümündeki dosyaları manipüle ederek BitLocker disk şifrelemesini atlatmalarına olanak tanımaktadır. Bu saldırı, özellikle Microsoft Defender'ın çevrimdışı taramasını daha önce gerçekleştirmiş sistemlerde varsayılan olarak etkilidir. Saldırının temelinde, kurtarma bölümüne yerleştirilen özel XML dosyaları bulunmaktadır. Bu dosyalar aracılığıyla sistem yapılandırılması değiştirilmekte ve BitLocker korumasının devre dışı bırakılması sağlanmaktadır.
Saldırı Yöntemi ve Etkileri
Saldırının Arka Planı
Windows kurtarma bölümünde bulunan unattend.xml ve RecEnv.xml gibi XML dosyaları, sistem kurtarma ve otomatik kurulum işlemlerinde kritik rol oynamaktadır. GreatXML saldırısında, bu dosyaların içeriği saldırganlar tarafından değiştirilmekte ve sistem başlatma sırasında BitLocker korumasının devre dışı bırakılmasına neden olmaktadır. Saldırının gerçekleştirilebilmesi için aşağıdaki koşulların sağlanması gerekmektedir:
- Sistemin Windows kurtarma bölümüne erişim sağlanabilmesi
- Microsoft Defender'ın çevrimdışı taramasının daha önce gerçekleştirilmiş olması
- Saldırganın sistemde yerel yönetici haklarına sahip olması
Etkileri
Bu saldırının başarılı olması durumunda, aşağıdaki riskler ortaya çıkmaktadır:
- BitLocker korumasının devre dışı bırakılması ve disk verilerine yetkisiz erişim
- Sistem kurtarma işlemlerinin saldırgan tarafından manipüle edilmesi
- Veri sızdırma veya fidye yazılımı saldırılarının gerçekleştirilmesi
Zafiyetin Kapsamı
GreatXML saldırısı, aşağıdaki Windows sürümlerinde ve yapılandırmalarında etkili olmaktadır:
- Windows 10 (tüm versiyonlar)
- Windows 11 (tüm versiyonlar)
- Windows Server 2016 ve üzeri
Saldırı, özellikle Microsoft Defender'ın çevrimdışı taramasını gerçekleştirmiş sistemlerde varsayılan olarak etkilidir. Bu durum, saldırganın sistemde yerel yönetici haklarına sahip olması durumunda, kurtarma bölümüne kolayca erişim sağlamasına olanak tanımaktadır.
Risk Değerlendirmesi
Uyarı: GreatXML saldırısı, sistemlerinizde ciddi güvenlik riskleri oluşturmaktadır. Özellikle veri koruması ve gizliliği kritik olan kurumsal ortamlarda, bu saldırıya karşı önlemlerin alınması hayati önem taşımaktadır.
Çözüm ve Önleme Yöntemleri
1. Saldırıdan Korunma
GreatXML saldırısından korunmak için aşağıdaki adımlar izlenmelidir:
-
Güncellemelerin Kontrol Edilmesi
Microsoft tarafından yayınlanan güvenlik güncellemelerini düzenli olarak kontrol edin ve sistemlerinizi en son sürümlere yükseltin. Özellikle
KB5034441ve benzeri güvenlik yamalarını uygulamak, saldırıya karşı koruma sağlayacaktır.# Güncellemeleri kontrol etmek için PowerShell kullanın Get-HotFix | Where-Object {$_.HotFixID -like "KB*"} | Sort-Object InstalledOn -Descending -
Kurtarma Bölümünün Korunması
Kurtarma bölümüne erişimi kısıtlamak için aşağıdaki adımları izleyin:
- Kurtarma bölümüne erişimi sadece yetkili personelin gerçekleştirebilmesi için grup ilkelerini yapılandırın.
- Kurtarma bölümündeki dosyaların bütünlüğünü sağlamak için
System File Checker (SFC)aracını çalıştırın:
# Kurtarma bölümündeki dosyaların bütünlüğünü kontrol edin sfc /scannow -
BitLocker Korumasının Güçlendirilmesi
BitLocker korumasını daha da güçlendirmek için aşağıdaki adımları izleyin:
- BitLocker korumasını etkinleştirirken, kurtarma anahtarını güvenli bir konuma (örneğin, Azure AD veya Active Directory'ye) kaydedin.
- İki faktörlü kimlik doğrulamasını kullanarak, kurtarma anahtarına erişimi kısıtlayın.
# BitLocker korumasını etkinleştirmek için PowerShell komutu Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -RecoveryPasswordProtector -
Güvenlik Politikalarının Uygulanması
Aşağıdaki grup ilkelerini uygulayarak, sistemlerinizi GreatXML saldırısına karşı koruyun:
- Otomatik kurulum dosyalarının (
unattend.xml) değiştirilmesini engelleyin. - Kurtarma bölümüne yerel yönetici hakları dışındaki kullanıcıların erişimini kısıtlayın.
# Grup İlkeleri Yöneticisi aracılığıyla aşağıdaki ayarları yapılandırın Computer Configuration → Administrative Templates → System → Recovery → Prevent access to recovery console - Otomatik kurulum dosyalarının (
2. Saldırının Tespiti
Eğer sisteminizin GreatXML saldırısına maruz kaldığından şüpheleniyorsanız, aşağıdaki adımları izleyerek saldırıyı tespit edebilirsiniz:
-
Kurtarma Bölümündeki Değişikliklerin Kontrol Edilmesi
Kurtarma bölümünde bulunan XML dosyalarının bütünlüğünü aşağıdaki komutlarla kontrol edin:
# Kurtarma bölümündeki dosyaların SHA-256 hash değerlerini kontrol edin Get-FileHash -Path "D:\unattend.xml" -Algorithm SHA256 Get-FileHash -Path "D:\RecEnv.xml" -Algorithm SHA256 -
Sistem Günlüklerinin İncelenmesi
Windows olay günlüklerinde, kurtarma bölümüne yapılan değişiklikleri veya şüpheli etkinlikleri arayın:
# Olay Görüntüleyicisi aracılığıyla sistem günlüklerini inceleyin Event Viewer → Windows Logs → System -
BitLocker Korumasının Kontrol Edilmesi
BitLocker korumasının devre dışı bırakılıp bırakılmadığını aşağıdaki komutla kontrol edin:
# BitLocker korumasının durumunu kontrol edin Get-BitLockerVolume -MountPoint "C:"
İpuçları ve En İyi Uygulamalar
İpucu: GreatXML saldırısından korunmak için, sistemlerinizde Microsoft Defender for Endpoint gibi gelişmiş tehdit koruma araçlarını kullanın. Bu araçlar, XML dosyalarındaki değişiklikleri gerçek zamanlı olarak izleyerek saldırıları tespit edebilir.
Uyarı: Kurtarma bölümüne erişim sağlayan kullanıcıların sayısını mümkün olduğunca sınırlayın. Yerel yönetici haklarına sahip kullanıcılar, saldırganlar için hedef olabilir.
Sonuç
GreatXML saldırısı, Windows sistemlerinde ciddi güvenlik riskleri oluşturmaktadır. Bu saldırıdan korunmak için, sistemlerinizi düzenli olarak güncelleyin, BitLocker korumasını güçlendirin ve kurtarma bölümüne erişimi kısıtlayın. Ayrıca, saldırıyı tespit etmek için sistem günlüklerini ve dosya bütünlüğünü düzenli olarak kontrol edin. Bu adımları izleyerek, sistemlerinizi GreatXML saldırısına karşı koruyabilir ve veri güvenliğinizi sağlayabilirsiniz.
