Siber güvenlik şirketi ESET, UEFI tabanlı sistemlerin birçoklarını etkileyen ve aktörlerin UEFI Secure Boot’u atlamasına imkan tanıyan bir güvenlik açığı keşfetti. CVE-2024-7344 olarak tanımlanan bu güvenlik açığı, Microsoft’un “Microsoft Corporation UEFI CA 2011” üçüncü taraf UEFI sertifikası tarafından imzalanmış bir UEFI uygulamasında bulundu.
Bu güvenlik açığının istismar edilmesi, sistem önyüklemesi sırasında güvenilmeyen kodun yürütülmesine yol açabilir ve potansiyel saldırganların, yüklü işletim sisteminden bağımsız olarak UEFI İnançlı Önyükleme’nin aktif olduğu sistemlerde bile makus emelli UEFI önyükleme kitlerini (Bootkitty yahut BlackLotus gibi) basitçe dağıtmasına imkan tanır.
ESET , bulguları Haziran 2024’te CERT Uyum Merkezi’ne (CERT/CC) bildirmiş ve bu merkez de etkilenen satıcılarla başarılı bir halde bağlantıya geçmişti. Sorun, etkilenen eserlerde düzeltildi. Eski, savunmasız ikili belgeler Microsoft tarafından 14 Ocak 2025 Salı günü yama güncellemesinde iptal edildi.Etkilenen UEFI uygulaması Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. ve Signal Computer GmbH tarafından geliştirilen çeşitli gerçek vakitli sistem kurtarma yazılımı paketlerinin bir modülüdür.
Güvenlik açığını keşfeden ESET araştırmacısı Martin Smolár yaptığı açıklamada şunları söyledi: “Son yıllarda keşfedilen UEFI güvenlik açıklarının sayısı ve bunların yamanması ya da güvenlik açığı bulunan ikili evrakların makul bir müddet içinde iptal edilmesindeki başarısızlıklar, UEFI Secure Boot üzere temel bir özelliğin bile aşılmaz bir bariyer olarak görülmemesi gerektiğini gösteriyor. Lakin bu güvenlik açığıyla ilgili olarak bizi en çok endişelendiren şey, benzeri durumlara kıyasla hayli yeterli olan ikiliyi düzeltmek ve iptal etmek için geçen mühlet değil, bu kadar açık bir formda inançlı olmayan imzalı bir UEFI ikilisinin keşfedilmesinin birinci olmayışıdır. Bu durum, üçüncü taraf UEFI yazılım satıcıları ortasında bu tıp inançsız tekniklerin kullanımının ne kadar yaygın olduğu ve dışarıda kaç tane emsal belgisiz lakin imzalı önyükleyici olabileceği sorularını gündeme getiriyor.”
Saldırganlar, Microsoft üçüncü taraf UEFI sertifikasının kayıtlı olduğu rastgele bir UEFI sistemine savunmasız ikilinin kendi kopyasını getirebildiğinden bu güvenlik açığından yararlanma, etkilenen kurtarma yazılımının yüklü olduğu sistemlerle hudutlu değil. Ayrıyeten savunmasız ve makûs emelli belgeleri EFI sistem kısmına dağıtmak için yükseltilmiş ayrıcalıklar gerekli (Windows’ta mahallî yönetici; Linux’ta root). Güvenlik açığı, standart ve inançlı UEFI fonksiyonları LoadImage ve StartImage yerine özel bir PE yükleyicinin kullanılmasından kaynaklanıyor. Microsoft üçüncü taraf UEFI imzalamasının aktif olduğu tüm UEFI sistemleri etkilenmektedir (Windows 11 Secured-core PC’lerde bu seçenek varsayılan olarak devre dışı bırakılmalıdır).
Güvenlik açığı, Microsoft’un en son UEFI iptalleri uygulanarak azaltılabilir. Windows sistemleri otomatik olarak güncellenmelidir.
Kaynak: (BYZHA) Beyaz Haber Ajansı