Insyde H2O UEFI ürün yazılımında kritik bir güvenlik açığı (CVE-2025-4275), saldırganların korunmasız bir NVRAM değişkeni aracılığıyla kötü niyetli dijital sertifikalar enjekte ederek güvenli önyükleme korumalarını atlamasına izin verir.
Dublajlı Hydroph0bia, bu kusur, imzasız kodun önyükleme öncesi yürütülmesini sağlar ve işletme ve tüketici cihazlarına ciddi riskler oluşturur.
Güvensiz NVRAM değişken kullanımı
Güvenlik açığı, uygunsuz kullanımından kaynaklanıyor SecureFlashCertData UEFI Trust doğrulamasında kullanılan genel anahtarları depolayan NVRAM değişkeni.
.png
)
Insyde H2O ürün yazılımı, DXE sürücüleri ve doğrulama kütüphaneleri arasında sertifika alışverişi yapmak için bu değişkene güvenir, LoadImage Ve StartImage.
Bununla birlikte, değişken yazma korumasından yoksundur ve idari ayrıcalıkları olan saldırganların haydut sertifikalarla üzerine yazmasına izin verir.
Anahtar Teknik Faktörler:
- UEFI Güvenli Önyükleme Bypass: Enjekte edilen sertifikalara erken önyükleme sırasında güvenilir ve kötü amaçlı UEFI uygulamalarının yürütülmesini sağlar.
- Kütüphane işlevi kusuru: Ortak işlevler
LibGetVariableİşletim sisteminin değişken veya ürün yazılımı seti olup olmadığını doğrulayamayın, işletim sistemi seviyesi kurcalamaya izin verir. - Kalıcılık mekanizması: Meydan okumalı sistemler, ürün yazılımı düzeyinde kalıcılık nedeniyle yeniden başlatmalarda ve işletim sistemi yeniden yüklemeleri arasında kötü amaçlı yazılımları koruyabilir.
Sertifika enjeksiyonundan rootkit dağıtımına kadar
Saldırganlar bu kusuru üç aşamada kullanıyor:
- Sertifika enjeksiyonu:
- Pencerelerde: PowerShell kullanın veya
SetFirmwareEnvironmentVariableKötü niyetli bir sertifika yazmak içinSecureFlashCertData. - Linux’ta: Değişkeni üzerinden değiştirin
efivarfs: bashecho -n "malicious_cert_data" > /sys/firmware/efi/efivars/SecureFlashCertData-$(uuidgen)
- Pencerelerde: PowerShell kullanın veya
- Kötü amaçlı yük yürütme:
Önyükleme sırasında, ürün yazılımı saldırgan imzalı UEFI ikili dosyalarını doğrular (örn.cloak.dat), bootkitleri etkinleştirme Blacklotus. - Kaçma:
Kötü amaçlı yazılım, işletim sistemi katmanının altında çalışır, EDR araçları tarafından algılanmaktan ve hayatta kalan disk mendillerinden kaçınır.
Azaltma stratejileri ve ürün yazılımı güncellemeleri
CVE-2025-4275’i ele almak için:
| Aksiyon | Uygulama |
|---|---|
| Ürün yazılımı güncellemeleri | Satıcı tarafından sağlanan yamalar kilitleme uygulayın SecureFlashCertData. |
| UEFI değişken kilitleme | Kullanmak VariablePolicyLib Kritik NVRAM değişkenleri üzerine yazma kısıtlamaları uygulamak. |
| Çalışma Zamanı İzleme | Kurcalamayı algılamak için ürün yazılımı bütünlük araçlarını (örn. Binarly eFixplorer) dağıtın. |
Risk faktörü analizi
| Faktör | Detaylar | CVSS Puanı |
|---|---|---|
| Olasılık | Yüksek (yerel yönetici erişimi gerektirir; kamuya açık olan sömürü araçları) | |
| Şiddet | Kritik (tam sistem uzlaşması, işletim sistemi yeniden yüklemeleri boyunca kalıcılık) | 8.2 (Yüksek) |
| Darbe | Gizlilik, bütünlük ve kullanılabilirlik kaybı, ürün yazılımı düzeyinde |
Satıcı yanıtı ve endüstri sonuçları
Insyde, yamalar (insyde-sa-2025002) yayınladı ve OEM ortaklarını bildirdi, ancak yaygın iyileştirme, aygıt yazılımı güncellemeleri düzenleyen cihaz üreticilerine bağlı.
Bu güvenlik açığı, paylaşılan kod tabanlarının HP, Dell ve Lenovo gibi satıcılar arasında kusurları yaydığı UEFI tedarik zincirlerinde sistemik risklerin altını çiziyor.
Güvenlik ekipleri, boot öncesi saldırı yüzeylerini azaltmak için ürün yazılımı güncellemelerine öncelik vermeli ve UEFI-farkında olan tehdit algılama çerçevelerini benimsemelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin