Microsoft, tamamen yamalı Windows sistemlerini etkilemek için BlackLotus UEFI kötü amaçlı yazılımı tarafından kullanılan bir Güvenli Önyükleme sıfır gün güvenlik açığını gidermek için güvenlik güncelleştirmeleri yayımladı.
Güvenli Önyükleme, başlatma işlemi sırasında rootkit’lerin yüklenmesini önlemek için Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) sabit yazılımı ve Güvenilir Platform Modülü (TPM) yongası bulunan bilgisayarlarda OEM tarafından güvenilmeyen önyükleyicileri engelleyen bir güvenlik özelliğidir.
Bir Microsoft Güvenlik Yanıt Merkezi blog gönderisine göre, güvenlik açığı (CVE-2023-24932 olarak izlenir), geçen yıl BlackLotus saldırılarında kötüye kullanılan başka bir Güvenli Önyükleme hatası olan CVE-2022-21894 için yayınlanan yamaları atlamak için kullanıldı.
Şirket, “Microsoft, BlackLotus bootkit tarafından CVE-2022-21894’ten yararlanmak için kullanılan Güvenli Önyükleme atlama güvenlik açığını gidermek için CVE-2023-24932’yi ve ilgili yapılandırma kılavuzunu yayınlıyor” dedi.
“Bu güvenlik açığı, Güvenli Önyükleme etkinken bir saldırganın Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) düzeyinde kendinden imzalı kod yürütmesine olanak tanır.
“Bu, tehdit aktörleri tarafından öncelikle bir ısrar ve savunmadan kaçınma mekanizması olarak kullanılır. Başarılı bir istismar, saldırganın hedeflenen cihazda fiziksel erişime veya yerel yönetici ayrıcalıklarına sahip olmasına bağlıdır.”
Güvenli Önyükleme korumalarının etkinleştirildiği tüm Windows sistemleri, şirket içi, sanal makineler ve bulut tabanlı cihazlar dahil olmak üzere bu kusurdan etkilenir.
Ancak, bugün yayınlanan CVE-2023-24932 güvenlik yamaları yalnızca Windows 10, Windows 11 ve Windows Server’ın desteklenen sürümleri için mevcuttur.
Sisteminizde Güvenli Önyükleme korumalarının etkinleştirilip etkinleştirilmediğini belirlemek için msinfo32 Sistem Bilgisi uygulamasını açmak için bir Windows komut isteminden komut.
“Sistem Özeti”ni seçtikten sonra pencerenin sol tarafında “Güvenli Önyükleme Durumu AÇIK” mesajı görürseniz Güvenli Önyükleme açılır.
CVE-2023-24932’yi hafifletmek için gereken manuel adımlar
Bugün Redmond tarafından yayınlanan güvenlik güncellemeleri bir Windows önyükleme yöneticisi düzeltmesi içeriyor olsa da, bunlar varsayılan olarak devre dışıdır ve BlackLotus saldırılarında kullanılan saldırı vektörünü kaldırmayacaktır.
Müşteriler, Windows cihazlarını korumak için “bu güncellemeyi etkinleştirmeden önce önyüklenebilir medyayı güncellemek ve iptalleri uygulamak için” birden çok manuel adımı gerektiren bir prosedürden geçmelidir.
Güvenli Önyükleme CVE-2023-24932 baypas hatasına yönelik korumaları manuel olarak etkinleştirmek için aşağıdaki adımları tam olarak bu sırayla uygulamanız gerekir (aksi takdirde sistem artık önyükleme yapmaz):
- 9 Mayıs 2023 güncellemelerini etkilenen tüm sistemlere YÜKLEYİN.
- Önyüklenebilir medyanızı 9 Mayıs 2023’te veya sonrasında yayınlanan Windows güncellemeleriyle GÜNCELLEYİN. Kendi medyanızı oluşturmuyorsanız, güncellenmiş resmi medyayı Microsoft’tan veya cihaz üreticinizden (OEM) almanız gerekir.
- CVE-2023-24932’deki güvenlik açığına karşı koruma sağlamak için iptalleri UYGULAYIN.
Microsoft ayrıca, CVE-2023-24932 korumalarının etkinleştirilmesi nedeniyle müşteri etkisini azaltmak için bu güvenlik kusurunu ele alan korumaları uygulamak için aşamalı bir yaklaşım benimsiyor.
Kullanıma sunma zaman çizelgesi üç aşamadan oluşur:
- 9 Mayıs 2023: CVE-2023-24932 için ilk düzeltme yayınlandı. Bu sürümde, bu düzeltme, korumaların tam olarak uygulanması için 9 Mayıs 2023 Windows Güvenlik Güncelleştirmesi ve ek müşteri eylemi gerektirir.
- 11 Temmuz 2023: İkinci bir sürüm, korumaların dağıtımını basitleştirmek için ek güncelleme seçenekleri sağlayacaktır.
- 2024’ün ilk çeyreği: Bu son sürüm, varsayılan olarak CVE-2023-24932 düzeltmesini etkinleştirecek ve tüm Windows cihazlarında önyükleme yöneticisi iptallerini zorunlu kılacaktır.
Microsoft ayrıca müşterileri, CVE-2023-24932 hafifletme önlemleri tam olarak dağıtıldıktan sonra değişiklikleri geri almanın bir yolu olmadığı konusunda uyardı.
Microsoft, “Bu sorunun hafifletilmesi bir cihazda etkinleştirildiğinde, yani iptaller uygulandığında, o cihazda Güvenli Önyüklemeyi kullanmaya devam ederseniz geri alınamaz” dedi.
“Diskin yeniden biçimlendirilmesi bile, zaten uygulanmışsa, iptalleri kaldırmaz.”