Güvenlik araştırmacıları Secure Boot’u ve GRUB2 önyükleyiciyi etkileyen BootHole adını verdikleri yüksek seviye bir güvenlik açığı buldu.
Eclypsium araştırmacıları tarafından 2020 yılının Nisan ayında milyonlarca bilgisayar, workstation ve sunucuyu tehdit eden BootHole adı verilen bir güvenlik açığı tespit edildi. Güvenlik araştırmacılarına göre her Linux sistemde kullanılan önyükleyici ve Microsoft’un UEFI BIOS için geliştirmiş olduğu Secure Boot özelliğinin kullanıldığı hemen hemen her bilgisayar bu açıktan etkilenebilir.
BootHole Nedir?
CVE-2020-10713 kodlu güvenlik bülteniyle duyurulan BootHole güvenlik açığı CVSS 8.2 puan alarak yüksek tehlikeli olarak değerlendirildi. Bu açık GRUB2 bootloader üzerinde bulunur fakat kullanıcı bunu kullanmıyor olsa bile Secure Boot açık olmasına rağmen risk altında demektir.
BootHole başarılı bir şekilde istismar edildiğinde Secure Boot aktif olsa bile Windows ve Linux sistemlerde boot esnasında rastgele kod yürütmeye olanak sağlar. Eclypsium güvenlik araştırmacılarına göre saldırgan kişi bu açığı kullanarak hedef üzerinde kalıcılık sağlayabilir ve cihazı tamamen kontrol edebilir.
Forbes’den Davey Winder açığı bulan firma olan Eclypsium’dan John Loucaides ve Canonical’dan güvenlik sorumlusu Joe McManus ile görüştü. John Loucaides’e ne kadar cihazın etkilenme riskinin mevcut olduğunu sordu. John Loucaides, Windows 8’den beri Microsoft UEFI ile gelen Secure Boot destekli cihazlar ve imzalanmış GRUB sürümlerini kullanan cihazların risk altında olduğunu söyledi. Buna göre dünyada milyonlarca veya belki de milyarlarca cihazın tehlikede olduğunu söyleyebiliriz.
Joe McManus ise Canonical’ın, Eclypsium’un zafiyeti açıklamasının ardından gereken önlemlerin aldığını ve güncelleme ile GRUB2’nin CVE-2020-10713’e karşı korumalı olduğunu söyledi. Ayrıca GRUB2 üzerinde 7 güvenlik açığı daha bulduklarını, güncelleme ile düzeltileceğini açıkladı.
BootHole’dan Neden Endişelenmeliyiz?
UEFI BIOS kullanan bilgisayarların çoğunluğunda bulunan Secure Boot özelliği, genelde önyükleme esnasında kodların doğruluğunu ve bütünlüğünü kontrol etmek için çeşitli imzalardan yararlanır. Bu özellik günümüzde çoğu bilgisayar için standarttır. Secure Boot özelliğinde önyükleme esnasında firmware ve yazılım kontrol edilir. İmzalanmamış olanlar çalışmazlar. Bu normalde güvenlik açısından ve UEFI’e yönelik tehditlere karşı oldukça iyi bir tedbirdir.
Secure Boot kontrol esnasında kodların kimler tarafından imzalanabileceğine ve imzalanmış olduğuna dikkat eder. Microsoft’un üçüncü parti UEFI sertifika yetkililiği ve yetkilisi endüstri standardı olarak kabul edilir.
Açık kaynaklı projeler ve diğer kullanımlar için dağıtılan küçük uygulamalar yayımcı tarafından sağlanan imzalanmış GRUB2 önyükleyiciyi kullanırlar. GRUB2, Microsoft üçüncü parti UEFI CA tarafından yüklenmeden önce onaylanır.
Yazımızın şimdiye kadar ana konusu olan BootHole güvenlik açığı da GRUB2’nin yapılandırma dosyasını nasıl kullandığına dikkat çeker ve buradaki arabellek taşması (buffer overflow) kullanılarak saldırgan kişinin kod yürütmesi sağlanabilir. Bu, BootHole açığı kullanarak saldırgan kişinin işletim sisteminin önyüklenmesini kontrol edebileceğini ifade eder.
BootHole Açığının Gerçek Dünyaya Etkisi
Forbes’den Davey Winder, BootHole her ne kadar tehlikeli bir açık olsa da uzaktan kod yürütmeye yarayan bir açık olmadığı için kritik seviyede değerlendirilmesinin yerine yüksek seviyede değerlendirilmiş olmasının doğruluğundan taraf.
Loucaides’e göreyse bu tarz boot sektörünü hedefleyen BootHole gibi açıklardan faydalanabilecek muhtemel bootkit zararlılarının sistemde kalıcılık sağlamak veya diğer güvenlik tedbirlerini atlatmak gibi amaçları bulunuyor. Ek olarak Loucaides’e göre yeni çıkan fidye yazılımlarının da bir kısmı UEFI sistemlerdeki önyükleyicilere saldırıyor. Araştırmacı, Secure Boot’un bu süre zarfında normal çalışmaya devam edeceğine dikkat çekerek; saldırıyı uzun bir süre boyunca gizlemek, saldırıyı sonlandırmak veya bilgileri çalmak amacıyla bu açığın saldırganlar için iyi bir yol olduğunu düşünüyor.
Bütün bunların yanında siber tehdit uzmanlarından Cyjax CISO, Thornton-Trump bu tehdit hakkında aşırı endişeli olmadığını belirtiyor. Bu açığın kullanılması için istismar zinciri halinde güvenliğin başarısızlığının ve işletim sisteminin önyükleyicisini hedefleyen bir saldırı olması gerektiğini düşünüyor. Thornton-Trump teoride BootHole’un hemen hemen her bilgisayar platformunu etkileyen bir açık olmasına karşın, genelde gerçek tehditlerde saldırı esnasında “Process Injection ve DLL Injection” gibi yöntemlerin daha çok kullanıldığına değiniliyor.
Yine uzmanlardan Joe McManus bu açığı saldırı ortamında kullanılabilecek popüler bir saldırı yöntemi olarak görmüyor.
Microsoft’un Açığa Karşı Tepkisi
Microsoft ise konuyla alakalı olarak sıkı bir çalışma yürütüldüğünü güvenlik bildirisini yapmış olduğu sayfalardan belirtti. Tahminen yamanın 2021 yılında ortaya çıkacağı düşünülüyor. Bu süre zarfında açığa neden olan modüllerin iptal edilmesi için Microsoft Secure Boot DBX’daki birtakım açığa neden olan işlevlere yönelik bir nevi geçici bir çözüm yayınladı. Açıkçası kullanıcıların bu çözümü uygulamalarını önermiyoruz. Zira yapılacak yanlış bir şey veya ufak bir uyumsuzluk sistemde sıkıntı çıkarabilir, güncelleme çıkana kadar sizleri büyük sıkıntılara sokabilir. Güvenlik güncellemesi Windows Update üzerinden dağıtılabilir hale gelene kadar beklemenizde yarar var.
Linux Dağıtımı Yayıncılarının BootHole Açığına Karşı Tepkileri
Red Hat ürünleri güvenlik sorumlusu Peter Allor, RHEL (Red Hat Enterprise Linux) ve diğer etkilenen Red Hat ürünlerine yönelik güncellemeler sunulması için çalıştıklarını belirtti. Debian ise konu üzerinde durduklarını, yeni sürümlerdeki GRUB2 paketlerindeki açıkları kapattıklarını belirtti. SUSE tarafından yapılan açıklamada ise Eclypsium tarafından tespit edilen BootHole adlı açıktan etkilenen GRUB2’deki zafiyeti kapatan paketleri yayınladığını duyurdu. Açığa yönelik kesin çözümler için ise çalışmalar sürmekte.
Bundan sonraki yeni şimlerin (Shim) Microsoft 3. Parti UEFI CA ile imzalanması gerekecek ve açıktan etkilenen cihazların kurtarma medyası da dahil olmak üzere imajları güncellemeleri gerekecek. Bundan sonraki süreçte cihazların BootHole’dan etkilenmemesi için her sistemdeki firmware üzerindeki UEFI listesinin güncellenmesi ve işletim sistemi dağıtıcıları tarafından yayınlanan kesin çözüm için hazırlanacak yamaların uygulanması gerekecek.
