İnsyde H2O UEFI ürün yazılımında (CVE-2025-XXXX olarak izlenen) kritik bir güvenlik açığı, saldırganların korunmasız bir NVRAM değişkeni aracılığıyla kötü niyetli dijital sertifikalar enjekte ederek güvenli önyükleme korumalarını atlamalarını sağlar.
Bu kusur, milyonlarca cihazı, geleneksel güvenlik izlemesinden kaçınan kötü amaçlı yazılım ve çekirdek düzeyinde köklülere maruz bırakıyor.
SecureFlashcertData nasıl güvenli önyükleme
Güvenlik açığı, ürün yazılımı güncellemelerini ve UEFI uygulamalarını doğrulamak için kullanılan genel anahtarları depolayan SecureFlashcertData NVRAM değişkeninin yanlış kullanımı üzerine odaklanır. Insyde’nin uygulaması iki temel güvenlik ilkesini ihlal ediyor:
.png
)
- Güven Sınır İhlali: Değişken, kimlik doğrulama kontrolleri olmadan yazılabilir uçucu olmayan NVRAM’da saklanır.
- Değişken depolamaya uygunsuz güven: UEFI modülleri jenerik kullanır
LibGetVariable()Değişkenin güvenilir ürün yazılımı bileşenleri tarafından ayarlandığı varsayılarak sertifikalar alma çağrıları.
c// Example of vulnerable variable retrieval in UEFI code
EFI_STATUS Status = LibGetVariable(
L"SecureFlashCertData",
&gSomeGuid,
&DataSize,
(VOID**)&CertData
);
// Missing checks for variable attributes (e.g., NV/volatile status)
Saldırganlar, standart UEFI API’lerini kullanarak bu değişkenin herhangi bir ayrıcalıklı işletim sistemi ortamından üzerine yazabilir:
Windows (Yönetici Komut İstemi):
powershellSetFirmwareEnvironmentVariable -Name "SecureFlashCertData" -Namespace "{guid}" -Value $(Get-Content attacker_cert.bin -Raw)
Linux:
bashprintf "\x01\x02..." > /sys/firmware/efi/efivars/SecureFlashCertData-{guid}
Bu, saldırganlara, bellek korumaları veya işletim sistemi güvenlik araçları etkinleştirilmeden önce, bagajın SEC/PEI aşamaları sırasında enjekte edilen sertifikalarıyla imzalanan kötü amaçlı DXE sürücüleri veya UEFI uygulamaları yürütme olanağı verir.
Sömürü Etkisi: Kalıcı Boot Öncesi Uzlaşma
Bu güvenlik açıklarının başarılı bir şekilde kullanılması, üç birincil saldırı vektörünü mümkün kılar.
İlk olarak, saldırganlar kötü amaçlı önyükleyicilerin veya işletim sistemi çekirdeğinin meşru yazılım olarak görünmesine izin vererek güvenli önyüklemeyi atlayabilir.
Örneğin, algılamadan kaçınmak için kendi sertifikalarıyla imzalanmış bir GRUB2 yükünü sahneleyebilirler.
İkincisi, gelişmiş yapılandırma ve güç arayüzü (ACPI) tablolarını veya sistem yönetimi modu (SMM) işleyicilerini değiştirerek uç nokta algılama ve yanıtı (EDR) veya antivirüs (AV) sistemlerini nötralize edebilirler.
Bu, güvenlik aracılarını devre dışı bırakmalarını ve Blacklotus veya Cosmicstrand gibi kalıcı bootkitleri kurmalarını sağlar, bu da işletim sistemi yeniden yüklemelerden kurtulabilir.
Üçüncüsü, sömürü, ürün yazılımı güncelleme mekanizmalarından ödün vererek tedarik zinciri saldırılarının kapısını açar.
Saldırganlar kötü amaçlı kapsüller ve gibi araçlar kullanabilir yonga Değerlendirilmemiş NVRAM değişkenlerinin SPI Flash’a yetkisiz yazma erişimini nasıl sağlayabileceğini gösterin – örneğin komutu kullanarak python chipsec_main.py -m common.uefi.s3script_modify.
Adli zorluklar ortaya çıkar çünkü:
- Saldırılar disk tabanlı artefakt bırakmaz.
- UEFI olay günlükleri (TCG PCR’ler) değiştirilmemiş görünebilir.
- Fiziksel donanım denetimi veya Uefitool gibi özel araçlar gerektirir.
Azaltma stratejileri ve satıcı koordinasyonu
1. Ürün yazılımı güncellemeleri
Insyde, Yamalar (H2O sürümü XX.XX.XX) yayınladı:
- Yer değiştirmek
LibGetVariable()kimlik doğrulamalı değişken API’lerle - Uygulamak
VariableLockProtocolYazıları kısıtlamak için - Ayarlamak
EFI_VARIABLE_READ_ONLYSecureFlashcertData için öznitelik
2. Çalışma zamanı korumaları
Cihaz ürün yazılımı ayarlarında mevcutsa bu özellikleri etkinleştirin:
DisableVariableWrite(Intel VT-D)UEFI Variable Guard(Windows 11)
3. Tespit yöntemleri
UEFI kabuğunu kullanarak nvram durumunu kontrol edin:
shelldmpstore -all -guid {INSYDE_SECUREFLASH_GUID}
Beklenmedik sertifikalar veya uçucu olmayan özellikler arayın.
Lenovo, Dell ve HP gibi büyük OEM’ler ürün yazılımı güncellemelerini kullanıma sunmaya başladı. Sistem yöneticileri:
- Monitör satıcı danışmanları (aşağıdaki tabloya bakın)
- Güvenli Önyükleme özel modu etkin olan cihazlar için güncellemeleri önceliklendirin
| Satıcı | Danışmanlık kimliği | Etkilenen modeller |
|---|---|---|
| Dell | DSA-2025-XXX | Optiplex 70xx Serisi |
| Lenovo | Len-xxxxx | ThinkPad T14/P1 |
| HP | Hpesbhf-xxxxx | EliteBook 8xx G10 |
İnsyde UEFI kusuru, tek bir savunmasız bileşenin birden fazla satıcı arasında yayıldığı ürün yazılımı tedarik zincirlerinde kritik risklerin altını çiziyor.
Yamalar ortaya çıkarken, kuruluşlar ürün yazılımı güncellemelerini çalışma zamanı bütünlüğü izleme ve UEFI-farkındalık EDR çözümleriyle eşleştirmelidir.
Bu olay, UEFI uygulamalarında gelişmiş NVRAM güvenlik standartları ve zorunlu değişken kilitlemeler için bir clarion çağrısı görevi görür.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin