290’dan fazla MSI anakartının, yanlış veya eksik bir imzaya sahip olup olmadığına bakılmaksızın herhangi bir işletim sistemi görüntüsünün çalışmasına izin veren güvensiz bir varsayılan UEFI Güvenli Önyükleme ayarı ayarlarından etkilendiği bildiriliyor.
Bu keşif, MSI ile iletişime geçip onları konu hakkında bilgilendirmeye çalışmasına rağmen bir yanıt alamadığını iddia eden Dawid Potocki adlı Polonyalı bir güvenlik araştırmacısından geliyor.
Potocki’ye göre sorun, en yeni ürün yazılımı sürümünü kullanan birçok Intel ve AMD tabanlı MSI anakartını etkiliyor ve hatta yepyeni MSI anakart modellerini bile etkiliyor.
UEFI Güvenli Önyükleme
Güvenli Önyükleme, önyükleme işlemi sırasında yalnızca güvenilir (imzalı) yazılımın yürütülmesini sağlayan, UEFI anakartlarının sabit yazılımına yerleşik bir güvenlik özelliğidir.
Microsoft, Güvenli Önyükleme ile ilgili bir makalede “Bilgisayar başlatıldığında, sabit yazılım, UEFI üretici yazılımı sürücüleri (Seçenek ROM’lar olarak da bilinir), EFI uygulamaları ve işletim sistemi dahil olmak üzere her bir önyükleme yazılımı parçasının imzasını kontrol eder” diye açıklıyor.
“İmzalar geçerliyse, bilgisayar önyüklenir ve aygıt yazılımı denetimi işletim sistemine verir.”
Güvenli Önyükleme, önyükleyicilerin, işletim sistemi çekirdeklerinin ve diğer temel sistem bileşenlerinin güvenliğini doğrulamak için yazılımın kimliğini doğrulayan ve her önyüklemede geçerliliğini belirleyen PKI’yı (ortak anahtar altyapısı) kontrol eder.
Yazılım imzasızsa veya muhtemelen değiştirildiği için imzası değiştiyse, bilgisayarda depolanan verileri korumak için önyükleme işlemi Güvenli Önyükleme tarafından durdurulur.
Bu güvenlik sistemi, UEFI bootkit’lerinin/rootkit’lerinin (1, 2, 3) bilgisayarda başlatılmasını önlemek ve satıcı sistemi sevk ettikten sonra işletim sistemlerinin kurcalandığı konusunda kullanıcıları uyarmak için tasarlanmıştır.
Varsayılan MSI ayarları güvenli olmayan önyüklemelere neden olur
Potocki, MSI’ın 18 Ocak 2022’de yayınlanan ‘7C02v3C’ ürün yazılımı güncelleme sürümünün, MSI anakartlarındaki varsayılan Güvenli Önyükleme ayarını değiştirdiğini ve böylece sistemin güvenlik ihlallerini algılasa bile önyükleme yapacağını iddia ediyor.
Araştırmacı, yazısında “Yeni masaüstüme sbctl yardımıyla Güvenli Önyükleme kurmaya karar verdim. Ne yazık ki, güvenilir olsun ya da olmasın, aygıt yazılımımın verdiğim her işletim sistemi görüntüsünü kabul ettiğini gördüm” diye açıklıyor. .
“Daha sonra 2022-12-16’da keşfettiğim gibi, sorun yalnızca donanım yazılımı değildi; MSI, Güvenli Önyükleme varsayılanlarını güvenlik ihlallerinde önyüklemeye izin verecek şekilde değiştirmişti(!!).”
MSI tarafından yapılan bu değişiklik, Firmware’deki “Görüntü Yürütme Politikası” ayarını varsayılan olarak yanlışlıkla “Her Zaman Yürüt” olarak ayarlamak ve herhangi bir görüntünün cihazı normal şekilde başlatmasına izin vermekti.
Kaynak: dawidpotocki.com
Yukarıdaki görüntüden de görebileceğiniz gibi Secure Boot etkin olmasına rağmen ‘Image Execution Policy’ ayarı ‘Always Execute’ olarak ayarlanarak güvenlik ihlalleri olsa bile sistemin açılması sağlanıyor.
Güvenilmeyen görüntüler aygıtı başlatmak için hala kullanılabildiğinden, bu, Güvenli Önyükleme özelliğini etkili bir şekilde bozar
Potocki, kullanıcıların Yürütme İlkesini “Çıkarılabilir Medya” ve “Sabit Medya” için “Yürütmeyi Reddet” olarak ayarlamaları gerektiğini açıklıyor; bu, yalnızca imzalı yazılımın önyükleme yapmasına izin vermelidir.
Araştırmacı, MSI’nin değişikliği hiçbir zaman belgelemediğini, bu nedenle yapılandırma seçenekleri bilgilerini çıkarmak için IFR’yi (UEFI Dahili Form Temsili) kullanarak güvensiz varsayılanın girişini takip etmesi gerektiğini söylüyor.
Potocki daha sonra bu bilgiyi hangi MSI anakartlarının sorundan etkilendiğini belirlemek için kullandı. Bu güvensiz ayardan etkilenen 290’dan fazla anakartın tam listesi GitHub’da mevcuttur.
Bu listede bir MSI anakart kullanıyorsanız, BIOS ayarlarına gidin ve “Görüntü Yürütme Politikası”nın güvenli bir seçeneğe ayarlanıp ayarlanmadığını kontrol edin.
Anakart donanım yazılımınızı Ocak 2022’den beri yükseltmediyseniz, yazılım güncellemeleri önemli güvenlik düzeltmeleri içerdiğinden, hatalı bir varsayılan ayarın getirilmesi bunu daha fazla ertelemek için bir neden olmamalıdır.
BleepingComputer, yukarıdakiler ve yeni bir güncelleme ile varsayılan ayarı değiştirmeyi planlayıp planlamadıkları hakkında bir yorum istemek için MSI ile iletişime geçti, ancak yine de bir yanıt almayı bekliyoruz.