Uç Nokta Güvenliği, Yönetişim ve Risk Yönetimi, Donanım / Çip Düzeyinde Güvenlik
Saldırganlar Çoğu Windows ve Linux Sistemini Hedef Almak İçin Savunmasız Bir Sürücü Kullanabilir
Mathew J. Schwartz (euroinfosec) •
16 Ocak 2025
Microsoft, Birleşik Genişletilebilir Ürün Yazılımı Arayüzü sistemlerinin çoğunda bulunan ve saldırganların, Windows yüklenmeden önce önyükleme işlemi sırasında kötü amaçlı kod çalıştırmak için kullanabileceği bir güvenlik açığını düzeltti.
Ayrıca bakınız: Windows 11 Pro İş Başında: İş Dinamiklerini Dönüştürmeye Yönelik Bir Örnek Olay İncelemesi
CVE-2024-7344 olarak takip edilen güvenlik açığı, birden fazla gerçek zamanlı sistem kurtarma aracında mevcut ancak saldırganlar tarafından, güvenlik açığı bulunan sürücüyü kullanan bir araç çalıştırmasa bile herhangi bir Windows veya Linux sistemini hedeflemek için kullanılabilir.
Microsoft, bir güvenlik danışma belgesinde “Bu güvenlik açığından başarıyla yararlanabilen bir saldırgan Güvenli Önyüklemeyi atlayabilir” dedi. Teknoloji devi, desteklenen her işletim sistemi için savunmasız sürücüyü iptal eden güncellemeler yayınlayarak Salı günü kusuru düzeltti. Aynı zamanda risk altında olan Linux sistemlerine yönelik güncellemeler, Linux Satıcı Ürün Yazılımı Hizmeti aracılığıyla edinilebilir.
Siber güvenlik firması Eset’teki kusuru keşfeden araştırmacılar, tüm kuruluşların güncellemeleri veya detaylandırdıkları hafifletme önlemlerini derhal uygulamasını ve iptallerin gerçekleştiğini doğrulamasını tavsiye ediyor. “Saldırganlar güvenlik açığı bulunan ikili dosyanın kendi kopyasını Microsoft üçüncü taraf UEFI sertifikası kayıtlı herhangi bir UEFI sistemine getirebileceğinden” ve bunu BlackLotus veya Bootkitty gibi bir önyükleme kiti yüklemek için kullanabileceğinden, güvenlik açığının oluşturduğu riskin önemli olduğunu söylediler. temel sistemin tam kontrolünü ele geçirebilir.
Eset, kusuru Haziran 2024’te ABD’deki CERT Koordinasyon Merkezi’ne bildirdi. CERT/CC, etkilenen sağlayıcılarla bir düzeltme koordine etti: Computer Education System, Howyar Technologies, Greenware Technologies, Radix Technologies, SANFONG, Signal Computer ve Wasay Software Technology.
UEFI, bir bilgisayar açıldığında donanımın başlatılmasına yönelik, UEFI Forumu tarafından yayınlanan bir endüstri standardıdır. Daha az güvenli Temel Giriş/Çıkış Sisteminin veya BIOS’un halefi olan arayüz, Windows ve birçok Linux dağıtımı için önyükleme işleminin kritik bir parçasıdır. Bilgisayarın donanım yazılımı ile işletim sistemi arasında arayüz kurarak başlatma işlevlerini yerine getirir. Aslında UEFI başlı başına bir mini işletim sistemidir. UEFI, Windows veya Linux’tan önce çalıştığından ve dolayısıyla işletim sistemi düzeyindeki güvenlik savunmaları yüklenmeden önce çalıştığından, saldırganlar için düzenli bir hedef olmaya devam ediyor.
Eset, artık yamalı olan güvenlik açığının izini, “standart ve güvenli UEFI işlevlerini” kullanmak yerine, ön kurulum ortamı için özel oluşturulmuş Windows PE formatlı dosya yükleyici kullanan bir uygulamada buldu. LoadImage Ve StartImage“
Microsoft üçüncü taraf UEFI Güvenli Önyüklemenin etkin olduğu ve “Microsoft 3. Taraf UEFI CA’ya İzin Ver” ayarının etkin olduğu tüm UEFI sistemleri risk altındadır. Eset, Windows 11 Güvenli çekirdekli bilgisayarlarda ikinci seçeneğin varsayılan olarak devre dışı bırakılması gerektiğini söyledi.
Güvenlik açığı bulunan UEFI sürücüsü, Microsoft’un “Microsoft Corporation UEFI CA 2011” üçüncü taraf UEFI sertifikası tarafından imzalanmıştır.
Bu güvenlik açığı, önyükleme işleminin yalnızca donanım üreticisi tarafından doğru şekilde imzalanmış yazılımla ilerlemesini sağlamak amacıyla UEFI Güvenli Önyükleme’yi engellemek ve saldırganların kötü amaçlı bir UEFI önyükleme kiti yüklemesine olanak sağlamak için kullanılabilir.
Güvenlik açığını keşfeden Eset araştırmacısı Martin Smolár, UEFI ve UEFI Güvenli Önyüklemenin güvenlik sağlamayı amaçladığını ancak etkinliklerinin kesin olarak alınmaması gerektiğini söyledi (bkz.: ABD CISA, Temel Bilgisayar Bileşeninde İyileştirme Çağrısında Bulundu).
“Güvenlik açığıyla ilgili olarak bizi en çok endişelendiren şey ikili dosyayı düzeltmek ve iptal etmek için gereken süre değil – ki bu benzer vakalarla karşılaştırıldığında oldukça iyiydi – ancak bunun bu kadar bariz bir şekilde güvensiz olduğu ilk sefer olmadığı gerçeği. imzalı UEFI ikili dosyası keşfedildi” dedi. “Bu, üçüncü taraf UEFI yazılım satıcıları arasında bu tür güvenli olmayan tekniklerin kullanımının ne kadar yaygın olduğu ve başka kaç tane benzer belirsiz ancak imzalı önyükleyicinin orada olabileceğine dair soruları gündeme getiriyor.”
Örnek olarak, CVE-2024-7344’ün, siber güvenlik tedarik zinciri risk yönetimi firması Eclypsium tarafından Ağustos 2022’de keşfedilip detaylandırılan diğer güvenlik açıklarına (CVE-2022-34301, CVE-2022-34302 ve CVE-2022-34303) büyük ölçüde benzediğini söyledi. Eclypsium, ilgili tüm güvenlik açığına sahip önyükleyicilerin “Microsoft UEFI Üçüncü Taraf Sertifika Yetkilisi tarafından imzalandığını” ve bunun da neredeyse tüm Windows ve Linux sistemleri için varsayılan olarak onlara güvenildiğini söyledi.