ESET yeni bir güvenlik açığı tespit etti
Siber güvenlik şirketi ESET, UEFI tabanlı sistemlerin birçoklarını etkileyen ve aktörlerin UEFI Secure Boot’u atlamasına imkan tanıyan bir güvenlik açığı keşfetti. CVE-2024-7344 olarak tanımlanan bu güvenlik açığı, Microsoft’un “Microsoft Corporation UEFI CA 2011” üçüncü taraf UEFI sertifikası tarafından imzalanmış bir UEFI uygulamasında bulundu.
Bu güvenlik açığının istismar edilmesi, sistem önyüklemesi sırasında güvenilmeyen kodun yürütülmesine yol açabilir ve potansiyel saldırganların, yüklü işletim sisteminden bağımsız olarak UEFI İnançlı Önyükleme’nin faal olduğu sistemlerde bile makûs maksatlı UEFI önyükleme kitlerini (Bootkitty yahut BlackLotus gibi) basitçe dağıtmasına imkan tanır.
ESET , bulguları Haziran 2024’te CERT Uyum Merkezi’ne (CERT/CC) bildirmiş ve bu merkez de etkilenen satıcılarla başarılı bir biçimde irtibata geçmişti. Sorun, etkilenen eserlerde düzeltildi. Eski, savunmasız ikili evraklar Microsoft tarafından 14 Ocak 2025 Salı günü yama güncellemesinde iptal edildi.Etkilenen UEFI uygulaması Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. ve Signal Computer GmbH tarafından geliştirilen çeşitli gerçek vakitli sistem kurtarma yazılımı paketlerinin bir kesimidir.
Güvenlik açığını keşfeden ESET araştırmacısı Martin Smolár yaptığı açıklamada şunları söyledi: “Son yıllarda keşfedilen UEFI güvenlik açıklarının sayısı ve bunların yamanması ya da güvenlik açığı bulunan ikili evrakların makul bir müddet içinde iptal edilmesindeki başarısızlıklar, UEFI Secure Boot üzere temel bir özelliğin bile aşılmaz bir bariyer olarak görülmemesi gerektiğini gösteriyor. Lakin bu güvenlik açığıyla ilgili olarak bizi en çok endişelendiren şey, benzeri durumlara kıyasla hayli yeterli olan ikiliyi düzeltmek ve iptal etmek için geçen mühlet değil, bu kadar açık bir halde inançlı olmayan imzalı bir UEFI ikilisinin keşfedilmesinin birinci olmayışıdır. Bu durum, üçüncü taraf UEFI yazılım satıcıları ortasında bu çeşit inançsız tekniklerin kullanımının ne kadar yaygın olduğu ve dışarıda kaç tane misal meçhul lakin imzalı önyükleyici olabileceği sorularını gündeme getiriyor.”
Saldırganlar, Microsoft üçüncü taraf UEFI sertifikasının kayıtlı olduğu rastgele bir UEFI sistemine savunmasız ikilinin kendi kopyasını getirebildiğinden bu güvenlik açığından yararlanma, etkilenen kurtarma yazılımının yüklü olduğu sistemlerle hudutlu değil. Ayrıyeten savunmasız ve makus gayeli belgeleri EFI sistem kısmına dağıtmak için yükseltilmiş ayrıcalıklar gerekli (Windows’ta mahallî yönetici; Linux’ta root). Güvenlik açığı, standart ve inançlı UEFI fonksiyonları LoadImage ve StartImage yerine özel bir PE yükleyicinin kullanılmasından kaynaklanıyor. Microsoft üçüncü taraf UEFI imzalamasının aktif olduğu tüm UEFI sistemleri etkilenmektedir (Windows 11 Secured-core PC’lerde bu seçenek varsayılan olarak devre dışı bırakılmalıdır).
Güvenlik açığı, Microsoft’un en son UEFI iptalleri uygulanarak azaltılabilir. Windows sistemleri otomatik olarak güncellenmelidir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
