UEFI Kabuk Kusurları, Bilgisayar Korsanlarının 200.000’den Fazla Dizüstü Bilgisayarda Güvenli Önyüklemeyi Devre Dışı Bırakmasına İzin Veriyor


Güvenlik araştırmacıları, imzalı UEFI kabuklarında, saldırganların yaklaşık 200.000 Framework dizüstü ve masaüstü bilgisayarda Güvenli Önyükleme korumalarını tamamen atlamasına olanak tanıyan kritik güvenlik açıklarını ortaya çıkardı.

Bu kusurlar, en ayrıcalıklı sistem düzeyinde kalıcı, tespit edilemeyen kötü amaçlı yazılım bulaşmalarına olanak verebilecek donanım yazılımı güvenliğindeki temel bir zayıflığı ortaya çıkarıyor.

Güvenlik açıkları, güvenilir Microsoft sertifikalarıyla imzalanmış meşru tanılama araçları etrafında yoğunlaşıyor.

Bu UEFI kabukları, sistem yöneticileri ve ürün yazılımı geliştiricileri için geçerli amaçlara hizmet etse de, temel güvenlik korumalarını devre dışı bırakabilecek tehlikeli işlevler içerir.

Kötü niyetli aktörler tarafından yerleştirilen geleneksel arka kapılardan farklı olarak bunlar, saldırganların tüm önyükleme güvenliği zincirini altüst etmek için kullanabileceği yetkili bileşenlerdir.

Tanım Darbe Etkilenen Sistemler
İmzalı üçüncü taraf UEFI önyükleyicileri Güvenli Önyükleme bypassına karşı savunmasız İmzalı önyükleyiciler aracılığıyla Güvenli Önyükleme atlaması Güvenlik açığı bulunan Microsoft imzalı UEFI önyükleyicilere sahip sistemler
İmzalı üçüncü taraf UEFI önyükleyicileri Güvenli Önyükleme bypassına karşı savunmasız İmzalı önyükleyiciler aracılığıyla Güvenli Önyükleme atlaması Güvenlik açığı bulunan Microsoft imzalı UEFI önyükleyicilere sahip sistemler
İmzalı üçüncü taraf UEFI önyükleyicileri Güvenli Önyükleme bypassına karşı savunmasız İmzalı önyükleyiciler aracılığıyla Güvenli Önyükleme atlaması Güvenlik açığı bulunan Microsoft imzalı UEFI önyükleyicilere sahip sistemler
EDK2’deki güvenli olmayan UEFI Kabuğu, Ubuntu’nun EDK2’sinde etkin bırakıldı UEFI Kabuğu aracılığıyla Güvenli Önyükleme bypass’ı EDK2 kullanan Ubuntu sistemleri
Sistem kurtarma araçlarındaki savunmasız önyükleyiciler Güvenli Önyüklemeyi atlamayı sağlar Güvenli Önyükleme atlama, fidye yazılımı yükleme Savunmasız imzalı kurtarma aracı önyükleyicilerine sahip sistemler

Güvenlik açığının özü, birçok UEFI kabuğunda bulunan mm komutunda yatmaktadır. Bu komut, sistem belleğine doğrudan okuma ve yazma erişimi sağlayarak saldırganların, işletim sistemi yüklenmeden önce kritik güvenlik yapılarını değiştirmesine olanak tanır.

Araştırmacılar, saldırganların Güvenlik Mimari Protokolünü hedef alarak, önyükleme sırasında dijital imzaları doğrulayan bellek konumlarının üzerine yazabildiğini, sistem korumaların etkin kaldığını bildirmeye devam ederken Güvenli Önyüklemeyi etkili bir şekilde etkisiz hale getirebildiğini gösterdi.

Saldırı birkaç aşamada gerçekleştirilir. Saldırganlar öncelikle Güvenlik Mimarisi Protokolünü işaret eden global değişkeni tanımlar.

Qemu, UEFI kabuğunu başlatacak ve otomatik olarak Qemu, UEFI kabuğunu başlatacak ve otomatik olarak
Qemu, UEFI kabuğunu başlatacak ve otomatik olarak “mm” komutunu çalıştırmayı deneyecek

UEFI kabuk komutlarını kullanarak bu değişkenin bulunduğu bellek adresini bulurlar. Daha sonra mm komutu, güvenlik işleyicisi işaretçisinin üzerine yazar ve sonraki tüm modül yüklemeleri için imza doğrulamasını devre dışı bırakır.

Korumalar devre dışı bırakıldığında saldırganlar, önyükleme kitleri ve kök kitleri dahil olmak üzere isteğe bağlı kodlar yükleyebilir. En endişe verici husus, bu komutları her önyüklemede otomatik olarak yürüten başlangıç ​​komut dosyaları aracılığıyla kalıcılıktır.

Eclypsium araştırmacıları, Framework dizüstü bilgisayarların, donanım yazılımı güncellemeleri için Linux kullanıcılarına imzalı UEFI kabukları dağıttığını keşfetti.

Testler, bu mermilerin tehlikeli mm komut işlevselliğini içerdiğini ve sistemlerin güvendiği sertifikalarla imzalandığını doğruladı.

Framework, sorunun yaklaşık 200.000 cihazı etkilediğini kabul etti ve ürün yelpazesinde düzeltmeler uyguluyor.

Farklı modeller çeşitli iyileştirme aşamalarındadır; bazıları halihazırda sınırlı kabuk sürümleri ve zayıf bileşenleri kara listeye almak için DBX veritabanı güncellemeleri almaktadır.

Bu teknikler teorik tehditler değildir. Oyun endüstrisindeki ticari hile sağlayıcıları, Microsoft imzalı bileşenleri kullanarak UEFI düzeyinde hile karşıtı bypass’ları ayda 40 Euro’ya kadar açıkça satıyor.

Daha ciddisi, HybridPetya fidye yazılımı, suç gruplarının benzer güvenlik açıklarını kullanarak işletim sistemi öncesi enfeksiyon yöntemlerini benimsediğini gösterdi.

Güvenlik uzmanları, ulus devlet aktörlerinin ve gelişmiş kalıcı tehdit gruplarının bu teknikleri casusluk veya sabotaj operasyonları için silah haline getirebileceği konusunda uyarıyor.

Bu keşif, güvenli önyükleme işlemlerine sahip gibi görünen sistemlerin aslında ürün yazılımı düzeyindeki saldırılara karşı savunmasız olabileceğini ortaya koyuyor.

Savunma stratejileri arasında, savunmasız önyükleyicileri kara listeye alan DBX güncellemeleri aracılığıyla UEFI iptal listelerinin güncel tutulması, BIOS parola korumasının uygulanması, özel Güvenli Önyükleme anahtar yönetiminin dağıtılması ve güvenlik açığı bulunan bileşenleri belirlemek için ürün yazılımı analiz araçlarının kullanılması yer alır.

Bu seviyede faaliyet gösteren saldırganlar, işletim sistemleri ve uygulamalarda yerleşik olarak bulunan hemen hemen her güvenlik kontrolünü atlayabileceğinden, kuruluşların ürün yazılımı güvenliğinin artık sonradan akla gelen bir düşünce olarak ele alınamayacağını kabul etmesi gerekir.

Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.



Source link