Uç nokta güvenliği, donanım / çip düzeyinde güvenlik
UEFI Güvenlik Açığı Sistemleri Sessiz Uzlaşma ile Tehdit ediyor
Prajeet Nair (@prajeaetspeaks) •
15 Haziran 2025
Bilgisayar korsanları, geniş bir Windows dizüstü bilgisayarları ve sunucuları etkileyen bir saldırı yoluyla sessizce devre dışı bırakarak güvenli önyükleme korumalarını atlatabilir. Saldırının sınırlamaları var: Microsoft bu ay bir yama yayınladı ve bilgisayar korsanlarının yönetici erişimine ve bir hedef makineye fiziksel erişime ihtiyaçları olacaktı.
Ayrıca bakınız: Desteğin Windows 10 sonuna doğru düzgün bir yelken sağlayın
Yine de araştırma, bir Windows veya Linux bilgisayarı yükseldiğinde donanım başlatma için endüstri standardı olan birleşik genişletilebilir ürün yazılımı arayüzü ürün yazılımında bir güvenlik açıkları geçit törenini vurgulamaktadır. UEFI, işletim sistemi devreye girmeden önce çalıştığından – ve böylece herhangi bir işletim sistemi seviyesi güvenlik savunması yüklenmeden önce – saldırganlar için düzenli bir hedeftir (bkz:: Araştırmacılar ciddi UEFI Güvenli Önyükleme Bypass kusurunu bulur).
Binarly’deki araştırmacılar Salı günü yaptığı açıklamada, geçen Kasım ayında Virüs Total’da, havaalanları gibi halka açık alanlarda engebeli ekran satıcısı tarafından geliştirilen yanıp sönen önyükleme ürün yazılımı için bir modül gördüklerini söyledi. Modül, bir UEFI hafıza yolsuzluğu kırılganlığından kaynaklanan CVE-2025-3052 olarak izlenen bir kusur içeriyordu. Bir Microsoft üçüncü taraf sertifikası ile donatılmış modül, bir saldırganın güvenli önyükleme uygulamak için gerekli bir anahtar değişkenin üzerine yazmasına izin verir, UEFI güvenlik özelliği, kötü amaçlı yazılımın işlem sistemiyle aynı seviyede yüklenmesini önlemek için tasarlanmıştır.
Binarly araştırmacıları modülün UEFI’yi okuduğunu buldu IhisiParamBuffer Değişken “ve değeri üzerinde herhangi bir doğrulama veya akıl sağlığı kontrolü gerçekleştirmeden doğrudan birden fazla bellek yazma işlemi için bir işaretçi olarak kullanır.”
Bu, bir saldırganın değişkeni bellekteki herhangi bir keyfi adrese ayarlamasına izin vererek, “onlara rastgele bir bellek yazma ilkel yazma” diye yazdı Binarly. . IhisiParamBuffer Değişken, botlar arasında devam etmesi gereken değişkenleri depolamak için kullanılan uçucu olmayan RAM’de saklanır. NVRAM değişkenleri tekrarlayan bir güvenlik açıkları kaynağıdır. WikiLeaks tarafından 2017 yılında yayınlanan belgeler, eski ABD istihbarat hacker Joshua Schulte tarafından sızan CIA penetrasyon tekniklerini detaylandıran belgeler, NVRAM’ı hedefleyen ajansın sistem önyükleme üzerinde kontrolü ele geçirmesini gösterdi (bakınız: Breach Roundup: CIA Hacking Tool Sheaker 40 yıl alır).
Bazı UEFI dağılımları, bu özel saldırıya karşı bağışıktır, çünkü IhisiParamBuffer Salt okunur olarak değişken. Ancak Binarly, “sistemlerin büyük çoğunluğu” potansiyel olarak risk altında. Araştırmacılar ayrıca modülün Ekim 2022’den bu yana çevrimiçi olarak dolaştığı verileri de ortaya çıkardılar.
Başarılı bir şekilde yürütüldüğünde, işletim sistemi güvenli önyükleme etkinmiş gibi davranabilir. Binarly kusur Microsoft’a bildirdiğinde, bilgi işlem devi ek 13 ürün yazılımı modülü aynı kusuru taşıdı. Haziran Patch Salı günü Fixts Dump’ta 14 modül için Microsoft sertifikasını iptal etti.