Son yıllarda, UEFI sistemlerinde güvenlik açıklarının arttığına tanık olduk. Bu endişe verici çünkü bu güvenlik açıkları uzun süredir yamalanıyor veya iptal ediliyor ve bu da onları tehdit aktörleri için kolay hedefler haline getiriyor. Bu trenddeki en son gelişme, temel platform güvenlik özelliği olan UEFI Güvenli Önyükleme’yi atlayan, herkes tarafından bilinen ilk UEFI önyükleme seti olan BlackLotus’un ortaya çıkışıdır. Bu, UEFI Güvenli Önyüklemenin etkinleştirildiği tamamen güncellenmiş Windows 11 sistemlerinin bile bu tehdide karşı savunmasız olduğu anlamına gelir.
UEFI önyükleme setleri nelerdir?
UEFI önyükleme takımları, işletim sistemi önyükleme sürecini tam olarak kontrol edebilen oldukça güçlü tehditlerdir. Bu, çeşitli işletim sistemi güvenlik mekanizmalarını devre dışı bırakabilecekleri ve çekirdek modu veya kullanıcı modu yüklerini erken işletim sistemi başlatma aşamalarında konuşlandırabilecekleri anlamına gelir. Bu, gizli ve yüksek ayrıcalıklarla çalışmalarını sağlar. Vahşi doğada birkaç UEFI önyükleme seti keşfedilmiş ve halka açıklanmış olsa da, BlackLotus’un ortaya çıkışı bir oyun değiştiricidir.
BlackLotus, Ekim 2022’den beri bilgisayar korsanlığı forumlarında 5.000$’a satılan bir UEFI bootkit’tir. UEFI Güvenli Önyükleme etkinleştirilmiş en son, tam yama uygulanmış Windows 11 sistemlerinde çalışabilir. Bu, UEFI Güvenli Önyüklemeyi atlamak ve önyükleme seti için kalıcılığı ayarlamak için bir yılı aşkın bir süredir açık olan bir güvenlik açığından (CVE-2022-21894) yararlanılarak elde edilir.
UEFI bootkit’leri: Gözden kaçan bir güvenlik açığı
Bu, tarafından bildirildiği üzere, bu güvenlik açığının genel olarak bilinen ilk vahşi kötüye kullanımıdır. Eset. Güvenlik açığı Microsoft’un Ocak 2022 güncellemesinde giderilmiş olsa da, etkilenen, geçerli olarak imzalanmış ikili dosyalar UEFI iptal listesine eklenmediğinden güvenlik açığından yararlanma hala mümkündür. BlackLotus, güvenlik açığından yararlanmak için meşru ancak savunmasız ikili dosyaların kopyalarını sisteme getirerek bundan yararlanır.
Kurulduktan sonra BlackLotus, BitLocker, HVCI ve Windows Defender gibi işletim sistemi güvenlik mekanizmalarını devre dışı bırakabilir. Bootkit’in ana hedefi, C&C ile iletişimden sorumlu ve ek kullanıcı modu veya çekirdek modu yüklerini yükleyebilen bir çekirdek sürücüsü ve bir HTTP indirici dağıtmaktır. Bu, onu herhangi bir tehdit aktörü için güçlü bir araç haline getirir.
İlginç bir şekilde, güvenliği ihlal edilmiş ana bilgisayar şu yerel ayarlardan birini kullanıyorsa, BlackLotus yükleyicilerinden bazıları bootkit yüklemesine devam etmez: Romence (Moldova), ro-MD, Russian (Moldova), ru-MD, Russian (Rusya), ru- RU, Ukraynaca (Ukrayna), uk-UA, Belarusça (Beyaz Rusya), be-BY, Ermenice (Ermenistan), hy-AM ve Kazakça (Kazakistan), kk-KZ. Bu yerlerin neden hariç tutulduğu hala belirleniyor, ancak jeopolitik nedenlerden kaynaklanıyor olabilir.
BlackLotus gibi UEFI önyükleme takımları, sistem güvenliğini önemli ölçüde etkileyebileceklerinden endişe kaynağıdır. Gizlice, yüksek ayrıcalıklarla çalışırlar ve UEFI Güvenli Önyüklemeyi atlayarak tespit edilmelerini ve kaldırılmalarını zorlaştırırlar. Bu tür tehditlerin yaygınlaşmasını önlemek için güvenlik açıklarına yama uygulamak ve güvenlik açığı bulunan ikili dosyaları makul bir süre içinde iptal etmek önemlidir. Ek olarak kuruluşlar, bu tür tehditlerin sistemlerini etkilemesini önlemek için sağlam güvenlik önlemleri almalıdır.
BlackLotus’un ortaya çıkışı, UEFI önyükleme setlerinin varlığına dair efsaneyi doğrular. Herhangi bir tehdit aktörü için güçlü bir araçtır ve sistem güvenliğini önemli ölçüde etkileyebilir. Tetikte olmak ve sistemleri bu tür tehditlere karşı proaktif olarak korumak çok önemlidir.