Siber güvenlik alanında küresel bir lider olan ESET, saldırganların on yıllık güvenlik açıklarından yararlanarak UEFI Güvenli Önyükleme'yi atlatmasına olanak tanıyan, Microsoft tarafından imzalanmış 11 adet güvenlik açığı bulunan UEFI ara katman önyükleyicisi keşfetti.
UEFI ara katman önyükleyiciler, anakart UEFI bellenimi ile işletim sistemi arasındaki boşluğu doldurmak üzere tasarlanmış küçük kod parçaları. 0.9 ve daha eski sürümlerdeki güvenlik açığı bulunan ara katmanlar, yüklü işletim sisteminden bağımsız olarak, Microsoft Corporation UEFI CA 2011 üçüncü taraf UEFI sertifika yetkilisi (CA) sertifikasına güvenen herhangi bir UEFI tabanlı makinede UEFI Güvenli Önyükleme'yi atlatmak için kullanılabilir.
Bildirilen ara katmanlar, sistem önyüklemesi sırasında güvenilmeyen kodları çalıştırmak için istismar edilebilir; bu da saldırganların, UEFI Güvenli Önyükleme'nin etkin olduğu sistemlerde bile kötü amaçlı UEFI bootkit'leri yerleştirmelerine olanak tanır. ESET, bulgularını CERT/CC'ye bildirdi; ardından güvenlik açığı bulunan UEFI uygulamalarının sertifikaları iptal edildi.
Keşfedilen ara katmanlar, PC tanılama yazılımları, Linux dağıtımları ve diğer UEFI tabanlı yardımcı programlar dâhil olmak üzere çeşitli araçlardan veya yazılım paketlerinden kaynaklanıyor. Önemli bir nokta olarak, saldırganlar Microsoft üçüncü taraf UEFI sertifikasının kayıtlı olduğu herhangi bir UEFI sistemine güvenlik açığı bulunan ara katmanların kendi kopyalarını getirebildikleri için istismar sadece etkilenen yazılım veya işletim sisteminin yüklü olduğu sistemlerle sınırlı değil.
Güvenlik açığı bulunan ara katmanları keşfeden ESET araştırmacısı Martin Smolár; “Bu eski ara katmanları tehlikeli kılan şey, yeni bir güvenlik açığı değil; UEFI Güvenli Önyükleme’yi atlatmak için yeni bir güvenlik açığına gerek olmamasıdır. Bir saldırganın karmaşık istismar yöntemlerine ihtiyacı yoktur — sadece eski, hâlâ güvenilir ancak iptal edilmemiş bir ara katman ikili dosyasının bir kopyası ve UEFI ara katmanlarının nasıl çalıştığına dair temel bir anlayış yeterlidir. Bu, UEFI Güvenli Önyükleme gibi hayati bir güvenlik özelliğini atlatmak için yeterlidir. Okuyucuların bu tür güvenlik açığı içeren ara katmanların UEFI Güvenli Önyükleme ile korunan sistemler üzerinde yaratabileceği etkiyi daha iyi anlamalarına yardımcı olmak amacıyla raporda bildirilen ara katmanlardaki birkaç spesifik sorun incelenmiştir — bu sorunlar kolayca istismar edilebilir nitelikte olup, ortaya çıkardıkları saldırı yüzeyinin genişliğini vurgulamaktadır” açıklamasını yaptı.
Yıllar içinde, UEFI ara katman önyükleyicisi doğal olarak gelişti; üst akış UEFI ara katman deposunun ardışık sürümlerinde yeni iyileştirmeler ve güvenlik özellikleri eklendi. Aynı zamanda, birçok üçüncü taraf satıcı, ara katman kaynak kodunun mevcut sürümlerini kullanarak kendi ikili dosyalarını oluşturmuş ve bunları daha sonra imzalanması için Microsoft’a sunmuştur. Bu davranış beklenen bir durumdur ve ara katmanların orijinal tasarımıyla uyumludur. Ancak Microsoft tarafından imzalanmış ve artık geçerliliğini yitirmiş ara katmanların iptal edilmesine yeterince önem verilmemiştir; bu ara katmanların çoğu, tasarımları gereği, daha yeni güvenlik mekanizmalarını atlatmak için kullanılabilir.
Bu güvenlik açığı bulunan ara katmanlar, Microsoft’tan alınan en son UEFI iptal listeleri uygulanarak engellenebilir. Windows sistemleri otomatik olarak güncellenmelidir. Linux sistemleri için ise güncellemeler, Linux Vendor Firmware Service aracılığıyla sağlanmalıdır. Bilinmeyen, güvenlik açığı bulunan imzalı UEFI önyükleyicilerin istismar edilmesine ve UEFI bootkit'lerin dağıtımına karşı nasıl korunulacağına (veya en azından bunların nasıl tespit edileceğine) ilişkin daha genel öneriler için ESET Research blog yazısı “UEFI Güvenli Önyükleme'nin perdesi arkasında: CVE-2024-7344'ün tanıtımı”na bakılabilir.
Kaynak: (BYZHA) Beyaz Haber Ajansı


Yorum Yazın