Uç Nokta Güvenliği, Donanım / Çip Düzeyinde Güvenlik
Eclypsium Araştırmacıları Çerçeve Dizüstü ve Masaüstü Bilgisayarlarda UEFI Zayıflığını Buldu
Pooja Tikekar (@PoojaTikekar) •
15 Ekim 2025
Güvenlik araştırmacıları, modüler duyum Çerçevesi tarafından üretilen yaklaşık 200.000 dizüstü ve masaüstü bilgisayarın, saldırganların Güvenli Önyüklemeyi devre dışı bırakmasına ve imzasız kod çalıştırmasına olanak tanıyan bir ürün yazılımı güvenlik açığı içerdiğini söylüyor.
Ayrıca bakınız: İşyerinde Yeni Yapay Zeka Çağına Geçin
Yaklaşık yirmi yıldır Framework, dizüstü bilgisayarlarını tasarlamak, onarmak ve genişletmek isteyen bilgisayar meraklılarının gözdesi haline geldi. Ancak neredeyse tüm diğer üreticiler gibi, Windows veya Linux işletim sistemi devreye girmeden önce donanımın başlatılması için Birleşik Genişletilebilir Ürün Yazılımı Arayüzü ürün yazılımı standardına güveniyor.
Güvenli Önyükleme, Microsoft imzalı tüm ikili dosyalara güvenilir gözüyle bakar ve bu tür bileşenler, orijinal ekipman üreticilerinin ve bağımsız BIOS satıcılarının sistemlerinde bile çalıştırılabilir. Donanım güvenliği firması Eclypsium’daki araştırmacılar, “Bu güven modeli, çalışmayana kadar harika çalışıyor” diye yazdı.
Framework tarafından bazı dizüstü bilgisayar modellerine dağıtılan UEFI kabuklarını araştırdıklarında, bunların içine gömülü bir arka kapının ne kadar önemli olduğunu buldular. Özellikle “bellek değiştirme” tanılama komutunu kabul eden UEFI kabukları mmsistem belleğine doğrudan okuma ve yazma erişimi sağlar.
Bellek değişikliği meşru bir teşhis aracı olabilir, ancak sahibinin bilgisi olmadan UEFI kabuklarına paketlendiğinde, güvenli bir önyükleme işlemine sahip gibi görünen sistemlerin “gerçekte böyle olmaması” etkisi ortaya çıkar.
Araştırmacılar istismar etti mm adı verilen global bir değişkeni etkisiz hale getirme komutu gSecurity2UEFI yükleme sırası sırasında imzaları doğrulayan güvenlik mimarisi protokolüne işaret eder. İşaretçiyi null değerine çevirerek imza doğrulamayı devre dışı bıraktılar ve rastgele veriler yüklediler; bu arada sistem Güvenli Önyüklemeyi etkin olarak raporlamaya devam etti.
Framework sorunu kabul etti ve acil durum güncellemelerini kullanıma sunuyor. Buna, bellek temelinin, gelecekteki kabuk sürümlerinden bellek yönetimi komutunun kaldırılması ve söz konusu UEFI kabukları için sertifikanın iptal edilmesi de dahildir.
Eclypsium, “‘İmzalanmış eşittir güvenlidir’ varsayımı altında çalışmaya devam edenler, kendilerini tehdit ortamındaki köklü bir değişimin yanlış tarafında bulabilirler” dedi.
Önyükleme düzeyindeki güvenlik açıkları teorik değildir ve yaklaşık olarak son on yılda daha yaygın hale gelmiştir. Genellikle APT 28, Forest Blizzard ve Fancy Bear olarak takip edilen GRU Birimi 26165’ten Rus askeri istihbarat korsanları, 2017 yılında Balkanlar ve Orta ve Doğu Avrupa’daki devlet kurumlarına karşı Eset tarafından LoJax olarak adlandırılan bir UEFI rootkit’i kullandı.
Eset, Eylül ayında, VirusTotal’a yüklenen ve saldırganların UEFI Güvenli Önyükleme’yi atlayıp kötü amaçlı bir önyükleyici yüklemesine olanak tanıyan kötü amaçlı yazılım örneklerini tespit ettiğini söyledi. NotPetya ile benzerliklerinden dolayı kötü amaçlı yazılıma HybridPetya adını verdi (bkz: HybridPetya Crypto-Locker, UEFI Güvenli Önyüklemeyi Zekice Geride Bırakıyor).
Eclypsium, HybridPetya’nın yaygın olarak konuşlandırılmamış gibi göründüğünü ancak var olduğu gerçeğinin, bilgisayar korsanlarının UEFI’ye yöneldiğini gösterdiğini söyledi. “‘Güvenli’ bir önyükleme işleminin görünümünü korurken işletim sisteminin altında da kalabilme yeteneği, saldırganların karmaşıklığının tehlikeli bir şekilde arttığına işaret ediyor.”