Küresel siber güvenlik alanının önde gelen şirketlerinden ESET, saldırganların on yıldır bilinen güvenlik açıklarından faydalanarak UEFI Güvenli Önyükleme mekanizmasını devre dışı bırakmasına olanak tanıyan, Microsoft tarafından imzalanmış 11 farklı UEFI ara katman önyükleyicisi tespit etti. Bu önemli keşif, bilgisayar sistemlerinin temel güvenlik katmanlarından birini tehlikeye atmakta ve kötü amaçlı yazılımların derinlemesine yerleşmesine zemin hazırlamaktadır. Güvenlik açığı bulunan bu ara katmanlar, yüklü işletim sisteminden bağımsız olarak, Microsoft Corporation UEFI CA 2011 üçüncü taraf UEFI sertifika yetkilisi (CA) sertifikasına güvenen tüm UEFI tabanlı makinelerde Güvenli Önyükleme korumasını atlamak için kullanılabilir durumda.

UEFI Güvenli Önyükleme Nasıl Tehdit Altında?

UEFI ara katman önyükleyicileri, anakartın UEFI bellenimi ile işletim sistemi arasında bir köprü görevi gören küçük kod parçaları olarak işlev görür. ESET tarafından ortaya çıkarılan 0.9 ve daha eski sürümlerdeki zafiyetli ara katmanlar, sistemin önyükleme işlemi sırasında güvenilmeyen kodların çalıştırılmasına imkan tanımaktadır. Bu durum, siber saldırganların UEFI Güvenli Önyükleme aktif olsa bile sistemlere kötü amaçlı UEFI bootkit'leri yerleştirmesine yol açabilir. Bootkit'ler, işletim sistemi yüklenmeden önce çalışmaya başlayarak tespit edilmeleri zorlaşan ve sistem üzerinde tam kontrol sağlayabilen son derece tehlikeli kötü amaçlı yazılımlardır. ESET, bu bulgularını CERT/CC'ye derhal bildirmiş ve bunun sonucunda güvenlik açığı içeren UEFI uygulamalarının sertifikaları iptal edilmiştir.

Keşfedilen bu ara katmanlar, çeşitli yazılım paketleri veya araçlardan kaynaklanmaktadır. Bunlar arasında PC tanılama yazılımları, çeşitli Linux dağıtımları ve diğer UEFI tabanlı yardımcı programlar bulunmaktadır. Bu durumun kritik önemi, istismarın sadece etkilenen yazılımın veya işletim sisteminin yüklü olduğu sistemlerle sınırlı olmamasıdır. Saldırganlar, Microsoft üçüncü taraf UEFI sertifikasının kayıtlı olduğu herhangi bir UEFI sistemine, güvenlik açığı bulunan bu ara katmanların kendi kopyalarını getirebilme yeteneğine sahiptirler. Bu da saldırı yüzeyini oldukça genişletmektedir.

Zafiyetlerin Kökeni ve Geniş Etki Alanı

ESET araştırmacısı Martin Smolár, bu eski ara katmanları tehlikeli kılanın yeni bir güvenlik açığı olmadığını, aksine UEFI Güvenli Önyükleme’yi atlatmak için yeni bir güvenlik açığına ihtiyaç duyulmaması olduğunu belirtti. Smolár, “Bir saldırganın karmaşık istismar yöntemlerine ihtiyacı yoktur — sadece eski, hâlâ güvenilir ancak iptal edilmemiş bir ara katman ikili dosyasının bir kopyası ve UEFI ara katmanlarının nasıl çalıştığına dair temel bir anlayış yeterlidir. Bu, UEFI Güvenli Önyükleme gibi hayati bir güvenlik özelliğini atlatmak için yeterlidir” şeklinde açıklama yaptı. Bu durum, ortaya çıkan saldırı yüzeyinin ne kadar geniş olduğunu gözler önüne sermektedir.

UEFI ara katman önyükleyicileri, yıllar içinde doğal bir evrim süreci geçirmiş, ardışık sürümlerde yeni iyileştirmeler ve güvenlik özellikleri eklenmiştir. Birçok üçüncü taraf satıcı, ara katman kaynak kodunun mevcut sürümlerini kullanarak kendi ikili dosyalarını oluşturmuş ve bunları daha sonra imzalanması için Microsoft'a sunmuştur. Bu süreç, ara katmanların orijinal tasarımıyla uyumlu ve beklenen bir davranıştır. Ancak, Microsoft tarafından imzalanmış ve artık geçerliliğini yitirmiş ara katmanların iptal edilmesine yeterli önem gösterilmemiştir. Bu eski ara katmanların çoğu, tasarımları gereği, daha yeni güvenlik mekanizmalarını dahi atlatmak için kullanılabilir özelliktedir.

Sistemler Nasıl Korunmalı?

Bu tür güvenlik açıklarını barındıran ara katmanlar, Microsoft'tan alınan en son UEFI iptal listelerinin uygulanmasıyla engellenebilir. Windows işletim sistemine sahip bilgisayarların otomatik olarak güncellenmesi gerekmektedir. Linux sistemleri için ise güncellemeler, Linux Vendor Firmware Service aracılığıyla sağlanmalıdır. Kullanıcıların, bilinmeyen veya güvenlik açığı bulunan imzalı UEFI önyükleyicilerin istismar edilmesine ve UEFI bootkit'lerin dağıtımına karşı nasıl korunacaklarına veya en azından bunları nasıl tespit edeceklerine dair daha genel öneriler için ESET Research blog yazısı olan “UEFI Güvenli Önyükleme'nin perdesi arkasında: CVE-2024-7344'ün tanıtımı” başlıklı makaleye başvurmaları tavsiye edilmektedir.