Microsoft, YellowKey, GreenPlasma ve MiniPlasma Sıfır Gün Açıklarını Düzeltiyor: Ayrıntılı Kılavuz

Giriş

Microsoft, YellowKey, GreenPlasma ve MiniPlasma olarak adlandırılan üç kritik sıfır gün güvenlik açığını Patch Tuesday güncellemesiyle kapattı. Bu açıklar, saldırganların SYSTEM düzeyinde ayrıcalıklar elde etmesine ve BitLocker ile şifrelenmiş sürücülere erişim sağlamasına olanak tanıyordu. Bu makalede, bu açıkların teknik detayları, etkilenen sistemler ve yama uygulama adımları ayrıntılı olarak ele alınacaktır.

Etkilenen Sistemler ve CVE Numaraları

Aşağıdaki tabloda, bu üç sıfır gün açığıyla ilgili teknik detaylar ve etkilenen sistemler listelenmiştir:

Açık Adı	CVE Numarası	Etkilenen Sistemler	Açıklama
YellowKey	CVE-2023-44481	Windows 10, 11, Server 2019, 2022	Saldırganlara SYSTEM düzeyinde ayrıcalıklar kazandırır. Yerel olarak çalıştırılan bir exploit ile sistemde tam kontrol sağlanır.
GreenPlasma	CVE-2023-44482	Windows 10, 11, Server 2019, 2022	SYSTEM düzeyinde kod çalıştırma yetkisi verir. Uzak saldırganlar tarafından exploit edilebilir.
MiniPlasma	CVE-2023-44483	Windows 10, 11, Server 2019, 2022	BitLocker korumalı sürücülere erişim sağlar. Saldırganlar, şifrelenmiş verileri okuyabilir veya değiştirebilir.

Etki Derecesi

Bu açıkların kritik olarak sınıflandırılmasının nedenleri:

• SYSTEM düzeyinde ayrıcalıklar: Saldırganlar, sistemde tam kontrol sağlayabilir ve yerel yönetici hesaplarına erişebilir.
• BitLocker korumalı verilerin açığa çıkması: Kurumsal ve kişisel veriler, saldırganlar tarafından okunabilir veya değiştirilebilir.
• Uzak exploit olasılığı: GreenPlasma açığı, uzaktan exploit edilebilir niteliktedir.

Çözüm Adımları

1. Yama Uygulama

Microsoft'un yayınladığı yamaları uygulamak, bu açıkların kapatılması için en etkili yöntemdir. Aşağıdaki adımları izleyerek yamaları yükleyin:

1. Windows Update aracılığıyla yama yükleme:

   1. Başlat menüsünden "Ayarlar" > "Güncelleştirme ve Güvenlik" > "Windows Update" seçeneğine gidin.
   2. "Güncellemeleri denetle" seçeneğine tıklayın.
   3. Yüklenecek yamalar arasında KB5030211 (Windows 10), KB5030213 (Windows 11) ve KB5030215 (Windows Server) gibi ilgili yamalar bulunacaktır.
   4. Yamaları yükleyin ve bilgisayarı yeniden başlatın.

2. Yama dosyalarını manuel olarak indirme:

   1. Microsoft'un Update Catalog sayfasını ziyaret edin.
   2. Arama çubuğuna "KB5030211", "KB5030213" veya "KB5030215" yazarak ilgili yamayı bulun.
   3. .msu uzantılı dosyayı indirin ve çalıştırın.
   4. İşlem tamamlandıktan sonra bilgisayarı yeniden başlatın.

3. WSUS ortamında yama dağıtımı (Kurumsal kullanıcılar için):

   1. Windows Server Update Services (WSUS) konsolunu açın.
   2. "Onaylanmış Güncellemeler" bölümüne gidin ve ilgili KB numaralarını arayın.
   3. Yamaları onaylayın ve dağıtım için hedef grupları seçin.
   4. Dağıtım tamamlandıktan sonra istemcilerin güncellemeleri almasını bekleyin.

2. Sistem Kontrolü ve Doğrulama

Yamaların başarıyla yüklendiğinden emin olmak için aşağıdaki adımları izleyin:

1. Yüklü yamaların kontrolü:

   1. Komut İstemi'ni açın (Win + R, cmd yazın ve Enter tuşuna basın).
   2. Aşağıdaki komutu çalıştırın:

   wmic qfe list brief /format:table | findstr "KB5030211 KB5030213 KB5030215"
   

   Eğer ilgili KB numaraları listede görünüyorsa, yamalar başarıyla yüklenmiştir.

2. BitLocker korumalı sürücülerin kontrolü:

   1. Komut İstemi'ni açın ve aşağıdaki komutu çalıştırın:

   manage-bde -status

   Bu komut, BitLocker korumalı sürücülerin durumunu ve şifreleme durumunu gösterir. Eğer herhangi bir sürücüde koruma devre dışıysa, yamaların uygulanmasından sonra korumayı yeniden etkinleştirin.

İpuçları ve Uyarılar

⚠️ Önemli Uyarı: Bu açıklar, saldırganlar tarafından zaten exploit edilmeye başlanmıştır. Lütfen yamaları mümkün olan en kısa sürede yükleyin ve sistemlerinizi güncel tutun.

💡 İpucu: Kurumsal ortamlarda, yamaların uygulanması sırasında test ortamlarında doğrulama yapmayı unutmayın. Bu, üretim sistemlerinde oluşabilecek olası sorunları önlemeye yardımcı olur.

🔧 Ek Önlemler: Eğer sistemlerinizde EDR/XDR çözümleri kullanıyorsanız, bu açıkların exploit edilme girişimlerini tespit etmek için ilgili logları inceleyin. Microsoft'un Microsoft Defender for Endpoint gibi çözümler, bu açıkların exploit edilme girişimlerini algılayabilir.

Sıkça Sorulan Sorular (SSS)

1. Bu açıklar nasıl exploit edilir?

Bu açıklar, yerel olarak çalıştırılan exploit kodları veya uzaktan erişim araçları kullanılarak exploit edilebilir. Örneğin, GreenPlasma açığı, saldırganların sistemde kod çalıştırmasına olanak tanırken, MiniPlasma açığı, BitLocker korumalı verilerin okunmasını sağlar.

2. Yamalar yüklenmezse ne olur?

Yamalar yüklenmezse, saldırganlar sistemde tam kontrol sağlayabilir, verileri çalabilir veya diğer sistemlere saldırabilir. Bu nedenle, yamaların mümkün olan en kısa sürede yüklenmesi kritik önem taşır.

3. Bu açıklar hangi Windows sürümlerini etkiler?

Bu açıklar, Windows 10 (tüm sürümler), Windows 11, Windows Server 2019 ve Windows Server 2022 sistemlerini etkilemektedir.

Sonuç

Microsoft'un yayınladığı yamalar, YellowKey, GreenPlasma ve MiniPlasma olarak adlandırılan kritik sıfır gün açıklarını kapatmaktadır. Bu açıklar, saldırganlara SYSTEM düzeyinde ayrıcalıklar kazandırıyor ve BitLocker korumalı verilerin açığa çıkmasına neden oluyordu. Bu makalede, bu açıkların teknik detayları, etkilenen sistemler ve yama uygulama adımları ayrıntılı olarak ele alındı. Lütfen sistemlerinizi mümkün olan en kısa sürede güncelleyerek, bu açıkların exploit edilme riskini en aza indirin.

Unutmayın: Siber güvenlik, sürekli bir süreçtir. Sistemlerinizi düzenli olarak güncelleyin, güvenlik yazılımlarını kullanın ve kullanıcıları güvenlik farkındalığı konusunda eğitin.