Siber Güvenlikte Önemli Bir Açık: UEFI Güvenliği Tehlikede
Siber güvenlik şirketi ESET, UEFI tabanlı sistemlerin çoğunu etkileyen ve kötü niyetli aktörlerin UEFI Secure Boot korumasını atlamasına imkan tanıyan ciddi bir güvenlik açığı keşfetti. CVE-2024-7344 olarak tanımlanan bu güvenlik açığı, Microsoft’un “Microsoft Corporation UEFI CA 2011” adı altında sunduğu üçüncü taraf UEFI sertifikası ile imzalanmış bir UEFI uygulaması içerisinde tespit edildi.
Bu güvenlik açığının kötüye kullanılması, sistem önyükleme sürecinde güvenilmeyen kodların yürütülmesine olanak tanır. Böylece, potansiyel saldırganlar, yüklü işletim sisteminden bağımsız olarak, UEFI Secure Boot’un etkin olduğu sistemlerde bile kötü amaçlı UEFI önyükleme kitlerini (Bootkitty ya da BlackLotus gibi) kolaylıkla dağıtabilirler.
ESET, bulgularını Haziran 2024’te CERT Koordinasyon Merkezi’ne (CERT/CC) iletti ve bu merkez, etkilenen satıcılarla başarılı bir iletişim kurdu. Sorun, etkilenen ürünlerde düzeltildi. Microsoft, eski ve savunmasız olan ikili dosyaları 14 Ocak 2025 Salı günü yapılacak bir yamanın güncellemesi ile iptal edeceğini duyurdu.
Etkilenen UEFI uygulaması, Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. ve Signal Computer GmbH tarafından geliştirilen çeşitli gerçek zamanlı sistem kurtarma yazılımı paketlerinin bir parçasıdır.
Güvenlik açığını keşfeden ESET araştırmacısı Martin Smolár, konuya ilişkin olarak şu açıklamalarda bulundu:
“Son yıllarda keşfedilen UEFI güvenlik açıklarının sayısındaki artış ve bu açıkların yamanması ya da güvenlik açığı bulunan ikili dosyaların kısa bir süre içerisinde iptal edilmesindeki başarısızlıklar, UEFI Secure Boot gibi temel bir güvenlik özelliğinin bile aşılmaz bir engel olarak görülmemesi gerektiğini ortaya koyuyor. Ancak bu güvenlik açığıyla ilgili olarak en çok endişe veren durum, benzer olaylara kıyasla ikili dosyanın düzeltilmesi ve iptal edilmesi için geçen süre değil; bu kadar açık bir şekilde güvensiz imzalı bir UEFI ikilisinin keşfedilmesinin ilk olmaması. Bu durum, üçüncü taraf UEFI yazılım satıcıları arasında bu tür güvensiz uygulamaların kullanımının ne kadar yaygın olduğunu ve benzer belirsiz ama imzalı önyükleyicilerin dışarıda ne kadar fazla olabileceği sorularını gündeme getiriyor.”
Saldırganlar, Microsoft’un üçüncü taraf UEFI sertifikasının kayıtlı olduğu herhangi bir UEFI sistemine bu savunmasız ikilinin kendi kopyasını yükleyebilmektedir. Bunun yanı sıra, savunmasız ve kötü amaçlı dosyaların EFI sistem bölümüne dağıtımı için yükseltilmiş ayrıcalıklar gerekmektedir (Windows’ta yerel yönetici; Linux’ta root). Güvenlik açığı, standart ve güvenli UEFI işlevleri olan LoadImage ve StartImage yerine özel bir PE yükleyicisinin kullanılmasından kaynaklanmaktadır. Microsoft’un üçüncü taraf UEFI imzalamasının etkin olduğu tüm UEFI sistemleri bu durumdan etkilenmektedir (Windows 11 Secured-core PC’lerde bu seçenek varsayılan olarak devre dışı bırakılmalıdır).
Güvenlik açığı, Microsoft’un en son UEFI iptallerinin uygulanması ile azaltılabilir. Windows sistemlerinin otomatik olarak güncellenmesi önem taşımaktadır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
