Siber güvenlik şirketi ESET, UEFI tabanlı sistemlerin çoğunu etkileyen ve aktörlerin UEFI Secure Boot’u atlamasına olanak tanıyan bir güvenlik açığı keşfetti. CVE-2024-7344 olarak tanımlanan bu güvenlik açığı, Microsoft’un “Microsoft Corporation UEFI CA 2011” üçüncü taraf UEFI sertifikası tarafından imzalanmış bir UEFI uygulamasında bulundu.
Bu güvenlik açığının istismar edilmesi, sistem önyüklemesi sırasında güvenilmeyen kodun yürütülmesine yol açabilir ve potansiyel saldırganların, yüklü işletim sisteminden bağımsız olarak UEFI Güvenli Önyükleme’nin etkin olduğu sistemlerde bile kötü amaçlı UEFI önyükleme kitlerini (Bootkitty veya BlackLotus gibi) kolayca dağıtmasına olanak tanır.
ESET , bulguları Haziran 2024’te CERT Koordinasyon Merkezi’ne (CERT/CC) bildirmiş ve bu merkez de etkilenen satıcılarla başarılı bir şekilde iletişime geçmişti. Sorun, etkilenen ürünlerde düzeltildi. Eski, savunmasız ikili dosyalar Microsoft tarafından 14 Ocak 2025 Salı günü yama güncellemesinde iptal edildi.Etkilenen UEFI uygulaması Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. ve Signal Computer GmbH tarafından geliştirilen çeşitli gerçek zamanlı sistem kurtarma yazılımı paketlerinin bir parçasıdır.
Güvenlik açığını keşfeden ESET araştırmacısı Martin Smolár yaptığı açıklamada şunları söyledi: “Son yıllarda keşfedilen UEFI güvenlik açıklarının sayısı ve bunların yamanması ya da güvenlik açığı bulunan ikili dosyaların makul bir süre içinde iptal edilmesindeki başarısızlıklar, UEFI Secure Boot gibi temel bir özelliğin bile aşılmaz bir bariyer olarak görülmemesi gerektiğini gösteriyor. Ancak bu güvenlik açığıyla ilgili olarak bizi en çok endişelendiren şey, benzer durumlara kıyasla oldukça iyi olan ikiliyi düzeltmek ve iptal etmek için geçen süre değil, bu kadar açık bir şekilde güvenli olmayan imzalı bir UEFI ikilisinin keşfedilmesinin ilk olmayışıdır. Bu durum, üçüncü taraf UEFI yazılım satıcıları arasında bu tür güvensiz tekniklerin kullanımının ne kadar yaygın olduğu ve dışarıda kaç tane benzer belirsiz ama imzalı önyükleyici olabileceği sorularını gündeme getiriyor.”
Saldırganlar, Microsoft üçüncü taraf UEFI sertifikasının kayıtlı olduğu herhangi bir UEFI sistemine savunmasız ikilinin kendi kopyasını getirebildiğinden bu güvenlik açığından yararlanma, etkilenen kurtarma yazılımının yüklü olduğu sistemlerle sınırlı değil. Ayrıca savunmasız ve kötü amaçlı dosyaları EFI sistem bölümüne dağıtmak için yükseltilmiş ayrıcalıklar gerekli (Windows’ta yerel yönetici; Linux’ta root). Güvenlik açığı, standart ve güvenli UEFI işlevleri LoadImage ve StartImage yerine özel bir PE yükleyicinin kullanılmasından kaynaklanıyor. Microsoft üçüncü taraf UEFI imzalamasının etkin olduğu tüm UEFI sistemleri etkilenmektedir (Windows 11 Secured-core PC’lerde bu seçenek varsayılan olarak devre dışı bırakılmalıdır).
Güvenlik açığı, Microsoft’un en son UEFI iptalleri uygulanarak azaltılabilir. Windows sistemleri otomatik olarak güncellenmelidir.
