Clevo, Intel Boot Guard uygulamasında kullanılan özel anahtarları kazara açığa çıkardı ve saldırganların ilk önyükleme aşamalarında güvenilecek kötü amaçlı yazılımları imzalamasına olanak tanıdı.
Sorun, Güvenlik Açığı Notu VU#538470 olarak izleniyor ve 13 Ekim 2025’te yayınlandı.
Araştırmacılar, bu sızıntının, Clevo’nun platform bileşenlerini entegre eden diğer markalara ait cihazlar da dahil olmak üzere, Clevo’nun ürün yazılımını kullanan sistemlerde gizli ve kalıcı bir tehlikeye yol açabileceği konusunda uyarıyor.
Ne oldu ve neden önemli?
Intel Boot Guard, UEFI başlatılmadan önce İlk Önyükleme Bloğunu doğrulayarak bilgisayarın başlatılmasının ilk adımını korur.
En erken önyükleme öncesi aşamada yalnızca kimliği doğrulanmış ürün yazılımının çalışmasını sağlar. Clevo’nun UEFI güncelleme paketi yanlışlıkla bu güven zincirine bağlı özel imzalama anahtarları içeriyordu.
Bu anahtarlarla, sistemin flaşına yazabilen bir saldırgan, tahrif edilmiş bir ürün yazılımı görüntüsünü imzalayabilir, böylece platform bunu yasal olarak değerlendirebilir ve alarm vermeden başlatabilir.
Bu, sürecin ilerleyen aşamalarında UEFI bileşenlerini ve işletim sistemi aktarımını doğrulamak için çalışan UEFI Güvenli Önyükleme’den farklıdır.
Boot Guard güvenin temelinde yer aldığından, onu atlamak tüm platform güvenlik zincirini baltalar.
Clevo, hem ODM hem de OEM olarak ürün yazılımı ve donanım üreterek birden fazla marka altında satılan birçok dizüstü bilgisayar modeline güç sağlar.
Bu, maruziyetin Clevo markalı cihazların ötesine geçerek tedarik zincirine kadar uzanabileceği anlamına geliyor. CERT’in tedarikçi listesi, aralarında Google, Intel, Insyde, Phoenix Technologies ve UEFI Güvenlik Yanıt Ekibi’nin de bulunduğu, etkilenmediği bildirilen birkaç temel ekosistem oyuncusunu gösteriyor.
Acer, ADATA, Amazon, AMI ve ASUS dahil olmak üzere pek çok diğer satıcı şu anda bilinmeyen olarak listeleniyor ve ürünlerinin etkilenen Clevo ürün yazılımını içerip içermediği konusunda netlik bekleniyor.
Saldırganın sistemin SPI flaşına veya bellenim deposuna yazmanın bir yoluna ihtiyacı vardır. Bu, fiziksel erişimden, kötü amaçlı veya kötüye kullanılan ayrıcalıklı bir güncelleme aracından veya güvenliği ihlal edilmiş bir yönetim aracısından kaynaklanabilir.
Saldırgan, sızdırılan anahtarlarla Boot Guard doğrulamasını geçecek değiştirilmiş bir ürün yazılımı görüntüsünü imzalayabilir.
Bu tür bellenim bir kez yüklendikten sonra işletim sistemi yeniden yüklemelerinde varlığını sürdürebilir, uç nokta araçlarından gizlenebilir, kimlik bilgilerine müdahale edebilir, güvenlik özelliklerini devre dışı bırakabilir ve erken önyükleme implantlarını dağıtabilir.
Güven Boot Guard’a bağlı olduğundan, bu katmandaki sahte bir imza daha sonraki savunmaları etkisiz hale getirebilir.
Clevo’nun sızdırılan anahtarları içeren yazılımı kaldırdığı bildiriliyor ancak satıcıdan henüz kamuya açık bir düzeltme adımı yok.
Clevo tabanlı sistemlerin sahipleri ve operatörleri, etkilenen modellerin ve ürün yazılımı sürümlerinin envanterini çıkarmalı, Clevo’nun Boot Guard uygulamasının mevcut olup olmadığını doğrulamalı ve beklenmeyen ürün yazılımı değişikliklerini izlemelidir.
Yalnızca doğrulanmış, güvenilir kaynaklardan gelen güncellemeleri uygulayın ve mümkün olduğunda ürün yazılımı yazma korumalarını etkinleştirmeyi veya sıkılaştırmayı düşünün.
Kurumsal savunucular, bütünlük izlemeyi ürün yazılımı temellerini, SPI flaş yazma olaylarını ve atipik güncelleme etkinliğini içerecek şekilde genişletmelidir. Uzlaşmadan şüpheleniliyorsa platformun güven kökünün yeniden oluşturulmasını içeren güvenilir bir yeniden başlatma süreci planlayın.
Sorun Binarly Araştırma Ekibi tarafından sorumlu bir şekilde açıklandı ve ilk raporlama Thierry Laurion tarafından yapıldı. CERT Güvenlik Açığı Notu, savunucular ve etkilenen OEM iş ortakları için satıcı durumu takibi ve teknik referanslar sağlar.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.