Binarly’den güvenlik araştırmacıları, birleştirilmiş genişletilebilir ürün yazılımı arayüzü (UEFI) ekosisteminde büyük bir yazılım güvenlik açığı ortaya çıkardılar, özellikle neredeyse tüm modern PC’ler ve sunucular tarafından kullanılan güvenli önyükleme mekanizmasını etkiledi.
CVE-2025-3052 (Brly-2025-001) olarak adlandırılan bu bellek yolsuzluk kusuru, saldırganların erken önyükleme aşaması sırasında imzasız kodu yürütmesini, güvenli önyükleme korumalarını atlamasını ve tüm cihazı potansiyel olarak tehlikeye atmasını sağlar.
Teknik arka plan ve güvenlik açığı detayları
Modern bilgisayarlar, UEFI ürün yazılımını eski BIOS ürün yazılımının yerine kullanır.
.png
)
UEFI’nin kritik bir bileşeni, yürütmeden önce işletim sistemi yükleyicisinin bütünlüğünü kriptografik olarak doğrulayan bir güvenlik özelliği olan Secure Boot’dur.
Bu, sadece güvenilir, imzalı yürütülebilir dosyaların önyükleme işlemi sırasında çalışmasını sağlar ve saldırganların meşru işletim sistemi yükleyicisini bootkits gibi kötü amaçlı yazılımlarla değiştirme çabalarını engeller.
Güvenli önyükleme iki veritabanına dayanır:
- DB: Güvenilir Authenticode karma ve kök sertifikaları içerir.
- DBX: İptal edilmiş veya güvenilmeyen karmalar ve sertifikalar içerir.
Varsayılan olarak, çoğu cihaz DB veritabanında en azından aşağıdaki sertifikaları içerir:
- Microsoft Windows Production PCA 2011 (Windows Bootloader için)
- Microsoft Corporation UEFI CA 2011 (Linux’s Shim gibi üçüncü taraf önyükleyiciler ve bileşenler için)
- OEM sertifikaları (satıcıya özgü yardımcı programlar için)
Bu sertifikalar, Microsoft ve OEM’ler tarafından imzalanan önyükleme bileşenlerinin güvenilmesine izin verir.
Güvenlik Açığı: CVE-2025-3052
Güvenlik açığı, Microsoft Corporation UEFI CA 2011 sertifikası kullanılarak imzalanan DT Research tarafından geliştirilen bir BIOS yanıp sönen yardımcı programında keşfedildi. Bu sertifika yaygın olarak güvenilir ve Linux’un Shim dahil bileşenleri imzalamak için kullanıldığından, potansiyel etki çok büyüktür.
Ana neden: Savunmasız modül, bir NVRAM değişkeni okur IhisiParamBuffer ve içeriğini, akıl sağlığı kontrolleri olmadan bellek yazma işlemleri için bir işaretçi olarak kullanır.
Bu bir saldırganın ayarlamasını sağlar IhisiParamBuffer keyfi bir bellek adresine, onlara keyfi bir bellek yazma ilkel.
Sömürü akışı:
- Kötü amaçlı değişkeni ayarlayın: Koşu sistemine ayrıcalıklı bir saldırgan,
IhisiParamBufferdeğişken. - Kötü amaçlı modülü kaydedin: Saldırgan, savunmasız modülü (veya bir yedek) UEFI önyükleme yöneticisi ile kaydeder. Alternatif olarak, mevcut işletim sistemi yükleyicisini değiştirebilirler.
- Yeniden başlatmayı ve sömürüyü tetikleyin: Yeniden başlatmada, savunmasız modül yürütülür. Okur
IhisiParamBufferve bunu bellek yazıları için kullanır ve saldırganın kritik güvenlik değişkenlerinin üzerine yazmasına izin verir. - Güvenli Önyüklemeyi Devre Dışı Bırak: Örneğin, üzerine yazmak
gSecurity2Zero ile değişken (Security2 mimari protokolüne bir işaret) güvenli önyükleme devre dışı bırakır. - Kötü amaçlı yükü yürütmek: Güvenli önyükleme devre dışı bırakıldığında, saldırganın imzasız modülü yürütülür.
c// Vulnerable code in the module
void vulnerable_function() {
void* ptr = NvRamGetVariable(L"IhisiParamBuffer", ...);
*(ptr + 0x18) = 0; // Arbitrary write to attacker-controlled address
// ... more writes possible ...
}
Bu, kontrol ederek IhisiParamBufferbir saldırgan sadece bellekteki herhangi bir adrese sıfır (veya diğer sabitler) yazabilir, sadece değil gSecurity2 Burada gösterilen değişken.
Etki ve azaltma
Güvenlik açığı, dünya çapında çoğu PC ve sunucu olan Microsoft Corporation UEFI CA 2011 sertifikasına güvenen hemen hemen her cihazı etkiler.
Başarılı bir sömürü, saldırganların güvenli botu tamamen atlamasına izin vererek aşağıdakileri sağlar:
- Kötü amaçlı kodun erken yürütülmesi (işletim sistemi yüklerinden önce)
- Kalıcı kötü amaçlı yazılımın kurulumu (bootkits)
- İşletim sistemi düzeyindeki güvenlik önlemlerinin tam olarak uzlaşması
İlginç bir şekilde, insyde tabanlı cihazlarda, değişken genellikle kilitlenir ve salt okunurdur, başka bir güvenlik açığı mevcut olmadıkça sömürüyü zorlaştırır.
Microsoft’un yanıtı ve hafifletme
Binarly sorunu CERT/CC’ye bildirdi ve sorunun tek bir modülle sınırlı olmadığını, ancak 14 farklı modülü etkilediğini tespit eden Microsoft ile çalıştı (aşağıdaki listeye bakın).
Bir hafifletme olarak Microsoft, 10 Haziran 2025’te Salı günü Patch’in bir parçası olarak DBX (Blled) veritabanına etkilenen tüm karmaları ekledi.
Etkilenen Modüllerin Listesi ve Authenticode Hashes:
| Modül adı | Authenticode Sha256 karma |
|---|---|
| Biosflashshell-Efi64-80.02.efi | C54A4060B3A76FA045B7B60EEBC8389780376BA3F1F63D417 … |
| Biosflashshell-Efi64-81.02.efi | CBFAA286144EB2D165A6B17245BAD4F73058436C7292BE56DC6… |
| DTBIOS-EFI64-70.17.EFI | 9D7E7174C281C6526B44C632BAA8C3320ADDDD0C77DC90778CC … |
| … (Kısalık için kesilmiş, 11 tane daha)… | … |
Daha geniş çıkarımlar ve endüstri yanıtı
Bu güvenlik açığı, UEFI güvenliğinde, özellikle NVRAM değişkenlerinin ve güvenilir sertifikaların ele alınması konusunda devam eden sorunları vurgulamaktadır.
Binarly, son yıllarda yüzlerce benzer sorunu açıkladı, gelişmiş tedarik zinciri güvenliği ve UEFI ürün yazılımı için daha iyi denetim araçları ihtiyacının altını çizdi.
Anahtar çıkarımlar:
- Tedarik Zinciri Riskleri: Bir satıcının hataları, özellikle yaygın bir güvenilir sertifika söz konusu olduğunda, tüm ekosistemi etkileyebilir.
- Şeffaflığın önemi: Binarly’s gibi otomatik analiz ve şeffaflık platformları bu tür güvenlik açıklarının erken tespiti için çok önemlidir.
- Satıcı Koordinasyonu: Hızlı açıklama ve koordineli azaltma çabaları (veritabanı güncellemeleri gibi) kullanıcıları korumak için gereklidir.
CVE-2025-3052’nin keşfi, ürün yazılımının güvence altına alınmasındaki zorlukların ve tedarik zinciri güvenlik açıklarının geniş kapsamlı etkisinin açık bir hatırlatıcısıdır.
Microsoft’un Patch Salı güncellemesi en yaygın saldırı vektörlerini engellerken, kuruluşlar ve kullanıcılar uyanık kalmalı, yamaları derhal uygulamalı ve kendi tedarik zincirleri için daha geniş sonuçları dikkate almalıdır.
BT profesyonelleri ve güvenlik ekipleri için Binarly Report, ürün yazılımı güvenliğinde değerli bir vaka çalışması olarak hizmet eder, sağlam kod denetiminin, NVRAM değişken kullanımının önemini ve önyükleme sürecine giderek daha karmaşık saldırılar karşısında devam eden uyanıklık ihtiyacını vurgular.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin