Blog'a Dön
Shift+F10 Kapatıldı, Win+R Kapısı Açıldı: OOBE’de Yeni Tehdit
MalwareAnaliz

Shift+F10 Kapatıldı, Win+R Kapısı Açıldı: OOBE’de Yeni Tehdit

Umid Mammadov
22 August 2025
22 August 2025 tarihinde güncellendi

Windows OOBE Breakout Yeniden Canlandı

Windows kurulum ekranında (OOBE) yıllardır bilinen Shift+F10 kısayolu ile yönetici haklarıyla komut satırına erişmek mümkündü. Microsoft bu yöntemi engellemek için bazı adımlar atsa da, güvenlik araştırmacıları bu kez farklı bir yol buldu: Win+R ile kabuk elde etmek.

OOBE Nedir?

Windows Out-of-Box-Experience (OOBE), işletim sistemi ilk kurulduğunda veya sıfırlandığında karşımıza çıkan yapılandırma ekranıdır. Dil seçimi, klavye düzeni, ilk kullanıcı hesabının oluşturulması ve gizlilik ayarlarının yapılması bu aşamada tamamlanır.

Klasik Yöntem: Shift+F10

Yıllarca kullanılan Shift+F10 kısayolu, OOBE sırasında defaultuser0 hesabı altında yükseltilmiş komut satırı açmaya izin veriyordu. Bu hesap yerel yöneticiler grubunun bir üyesiydi. Bu durum, kötü niyetli kişilerin:

  • Yeni yönetici hesapları açmasına
  • Mevcut şifreleri değiştirmesine
  • Sisteme arka kapılar bırakmasına
    olanak tanıyordu.

Microsoft, bu sorunu azaltmak için C:\Windows\Setup\Scripts\DisableCMDRequest.tag dosyasının oluşturulmasını önerdi. Bu dosya kısayolu devre dışı bırakıyordu.

Yeni Yöntem: Win+R

Ancak bu yeterli olmadı. Araştırmacılar OOBE içinde Win+R kısayolu üzerinden de komut çalıştırılabildiğini fark ettiler. Bunun için:

  1. Önce erişilebilirlik aracı olan Magnify.exe açılıyor.
  2. Odak bu pencereye alındıktan sonra Win+R ile “Çalıştır” penceresi çağırılıyor.
  3. Buradan cmd.exe yazılıp Ctrl+Shift+Enter ile çalıştırıldığında, yükseltilmiş bir komut satırı açılıyor.
  4. UAC onayı “Yes” olarak seçildiğinde tam yetkili kabuk kullanıma hazır hale geliyor.

 

 

Komut satırı görünür olmasa da, arka planda aktif oluyor ve komutlar yazıldığında çalışıyor.

Çözüm Önerileri

Microsoft, bu yöntemi “düzeltmeyecek” kategorisine aldı. Yani kısa vadede resmi bir güncelleme beklenmiyor. Kurumlar için alınabilecek en önemli önlem, Intune Company Portal üzerinden sıfırlama butonunun gizlenmesi. Böylece standart kullanıcıların cihazı sıfırlayıp OOBE’ye geçerek yönetici yetkisi kazanmasının önüne geçilebilir.

Sonuç

OOBE, işletim sistemi açısından en kritik anlardan biridir. Bu aşamada açılan her kapı, sistemin güvenliğini doğrudan etkiler. Shift+F10’un kapatılması sorunu çözmedi; Win+R yöntemi yeni bir risk doğurdu. Dolayısıyla kurumların, özellikle de kurumsal cihazlarda, OOBE’ye dikkat etmesi ve kullanıcı ayrıcalıklarını sıkı şekilde sınırlandırması gerekiyor.