.webp?w=696&resize=696,0&ssl=1 "UEFI Kabuk Güvenlik Açıkları")
Bilgisayar korsanları, 200.000’den fazla Framework dizüstü ve masaüstü bilgisayarda Güvenli Önyükleme korumalarını atlamak için imzalı UEFI kabuklarındaki güvenlik açıklarından yararlanabilir.
Eclypsium’a göre bu güvenlik açıkları, modern sistemlerin önyükleme bileşenlerine olan güvenindeki temel kusurları açığa çıkarıyor ve potansiyel olarak tespit edilmekten kaçan kalıcı kötü amaçlı yazılım bulaşmalarına olanak tanıyor.
Yakın zamanda Framework’e açıklanan sorunlar, Microsoft gibi güvenilir yetkililer tarafından imzalanmış olmasına rağmen temel güvenlik önlemlerini ortadan kaldıracak kadar güçlü komutlar içeren meşru tanılama araçlarından kaynaklanıyor.
İşletim sistemi öncesi saldırılar BlackLotus ve Bootkitty gibi tehditleri hatırlatarak daha yaygın hale geldikçe, bu keşif, genellikle gözden kaçırdığımız ürün yazılımı katmanında gizlenen risklerin altını çiziyor.
Güvenilir UEFI Kabuklarının Gizli Tehlikeleri
UEFI kabukları, sınırsız donanım erişimine sahip, güçlendirilmiş bir terminale benzer şekilde, önyükleme öncesi komut satırı ortamları görevi görür. BT profesyonellerinin donanımı teşhis etmesi, ürün yazılımını güncellemesi, ayarları yapılandırması veya sürücüleri test etmesi için tasarlanan bu cihazlar, işletim sistemi yüklenmeden önce çalıştırılarak tipik yönetici haklarının çok ötesinde ayrıcalıklar sağlar.
Sorun, bunların Güvenli Önyükleme güven zincirine entegrasyonundan kaynaklanmaktadır. Microsoft’un UEFI Sertifika Yetkilisi, orijinal ekipman üreticilerinin (OEM’ler) ürün yazılımına yerleştirdiği üçüncü taraf araçları imzalayarak kök bağlantı noktası görevi görür.
Bu kabuklar bir kez imzalandıktan sonra, imzasız kodu engellemek için Güvenli Önyüklemeyi zorlayan sistemlerde bile incelenmeden yürütülür.
Eclypsium’un derinlemesine incelemesi, bu tür kabukların çoğunun, bellek değişikliği için “mm” komutunu barındırdığını ortaya çıkardı. Bu araç, işletim sistemi öncesi dünyada bulunmayan adres alanı düzeni rastgeleleştirme veya veri yürütme önleme özellikleri gibi korumaları atlayarak kullanıcıların herhangi bir sistem bellek adresini okumasına veya yazmasına olanak tanır.
Teşhis için yararlı olmasına rağmen, başlangıç dosyaları aracılığıyla otomatik olarak çalışacak şekilde komut dosyası yazıldığında, işletim sistemini uyarmadan yeniden başlatmalarda devam ederek bilgisayar korsanlarının rüyası haline gelir.
Teknik, önyükleme sırasında imzaları doğrulayan Güvenlik Mimari Protokolünü hedefliyor. Eclypsium araştırmacıları Jesse Michael ve Mickey Shkatov, DEF CON 30 demolarında basit bir yolun ana hatlarını çizdiler: protokolün bellek adresini bulmak için sistem tanıtıcılarını numaralandırın, ardından işaretçisinin üzerine yazmak, onu geçersiz kılmak veya yanlış bir “başarı” dönüşüne zorlamak için “mm” kullanın.
“mm 0x” gibi basit bir komut[target_address] 0x00000000 -w 8 -MEM”, kontrolleri devre dışı bırakarak, Güvenli Önyükleme sağlam görünürken imzasız önyükleme kitlerinin veya kök kitlerinin serbestçe yüklenmesine olanak tanır.
Framework cihazlarında yapılan testler sorunu doğruladı. Pefile kitaplığıyla birlikte sbverify ve özel Python komut dosyaları gibi araçları kullanan Eclypsium, EFI dosyalarını “mm” göstergeleri açısından taradı ve yüksek riskli ikili dosyaları işaretledi.
QEMU tabanlı otomasyon, yürütmeyi daha da doğruladı. Bu teorik değil; oyuncular zaten Microsoft imzalı bileşenleri kullanarak benzer hileler için ödeme yapıyor ve HybridPetya’nın arkasındakiler gibi ulus devlet aktörleri veya fidye yazılımı grupları bunu casusluk veya sabotaj için silah haline getirebilir.
Etkilenen modeller, 11. Nesil Intel Core’dan AMD Ryzen AI serisine kadar Framework serisini kapsıyor ve yaklaşık 200.000 birimi etkiliyor.
| Ürün | Sınırlı Kabuklu BIOS Sürümü | DBX Güncellemesi ile BIOS Sürümü |
|---|---|---|
| Framework13 11. Nesil Intel Core | Savunmasız: 3.24’te planlanan sorun giderildi | Savunmasız: 3.24’te planlanan sorun giderildi |
| Framework13 12. Nesil Intel Core | 3.18’de düzeltildi | 3.19 (TBD) için düzeltme planlandı |
| Framework13 13. Nesil Intel Core | 3.08’de düzeltildi | 3.09’da düzeltildi |
| Çerçeve13 Intel Core Ultra Serisi 1 | 3.06’da düzeltildi | 3.06’da düzeltildi |
| Çerçeve13 AMD Ryzen 7040 Serisi | 3.16’da düzeltildi | 3.16’da düzeltildi |
| Çerçeve13 AMD Ryzen AI 300 Serisi | 3.04’te düzeltildi | 3.05’te Planlandı (TBD) |
| Çerçeve16 AMD Ryzen 7040 Serisi | 3.06’da (Beta) düzeltildi | 3.07’de düzeltildi |
| Çerçeve Masaüstü AMD Ryzen AI 300 MAX | 3.01’de düzeltildi | 3.03’te planlandı |
Framework, riskli komutları kabuklardan çıkararak ve DBX iptal listelerini savunmasız sürümleri kara listeye alacak şekilde güncelleyerek düzeltmeler sundu. Kullanıcılar anında koruma sağlamak için BIOS güncellemelerini uygulayabilir veya kurulum menüleri aracılığıyla Framework DB anahtarlarını silebilir.
CVE-2022-34302 ve CVE-2024-7344 gibi geçmişte yaşanan olaylar, bunun sektör çapında bir kriz olduğunu vurguluyor ve EDK2 spesifikasyonlarındaki Güvenli Önyükleme zincirlerinden kabuk çağrılarına yol açıyor.
Savunmalar arasında düzenli DBX güncellemeleri, BIOS şifreleri, özel anahtarlar ve ürün yazılımı tarama araçları bulunur. Eclypsium’un uyardığı gibi, imzalara olan örtülü güven, tedarik zinciri tehlikelerine karşı bizi kör ediyor.
Ürün yazılımı saldırıları artarken, kuruluşların yıkıcı ihlalleri önlemek için bu “İşletim Sisteminin altındaki” yüzeye öncelik vermesi gerekiyor. İmzalı kodu doğası gereği güvenli olarak değerlendirme dönemi sona erdi; doğrulama artık çok önemli.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
