Microsoft, Windows kullanıcılarının ve yöneticilerin önyüklenebilir medyayı güncellemelerine yardımcı olmak için bir PowerShell komut dosyası yayınladı, böylece Blacklotus UEFI Bootkit’in hafifletmeleri bu yıl uygulanmadan önce yeni “Windows UEFI CA 2023” sertifikasını kullanıyor.
Blacklotus, güvenli önyüklemeyi atlayabilen ve işletim sisteminin önyükleme işlemi üzerinde kontrol kazanabilen bir UEFI bootkitidir. Kontrol edildikten sonra Blacklotus, Bitlocker, Hipervizör Korumalı Kod Bütünlüğü (HVCI) ve Microsoft Defender antivirüs gibi Windows güvenlik özelliklerini devre dışı bırakabilir ve tespit edilmeyen kalırken kötü amaçlı yazılımları en yüksek ayrıcalık seviyesinde dağıtmasına izin verir.
Mart 2023 ve ardından Temmuz 2024’te Microsoft, Blacklotus tarafından kullanılan savunmasız önyükleme yöneticilerini iptal eden CVE-2023-24932 olarak izlenen güvenli bir önyükleme bypass için güvenlik güncellemeleri yayınladı.
Ancak, bu düzeltme varsayılan olarak devre dışı bırakılır, çünkü güncellemeyi yanlış uygulamak veya cihazlardaki çatışmalar işletim sisteminin artık yüklenmemesine neden olabilir. Bunun yerine, düzeltmeyi aşamalar halinde piyasaya sürme, Windows yöneticilerinin 2026’dan önce uygulanmadan önce test etmesini sağlar.
Etkinleştirildiğinde, Güvenlik Güncellemesi “Windows UEFI CA 2023” sertifikasını UEFI “Güvenli Önyükleme İmza Veritabanına” ekleyecektir. Yöneticiler daha sonra bu sertifikada imzalanan daha yeni önyükleme yöneticileri yükleyebilir.
Bu işlem ayrıca “Windows Production CA 2011” sertifikasını eklemek için Güvenli Önyükleme Yasak İmza Veritabanının (DBX) güncellenmesini de içerir. Bu sertifika, eski, savunmasız önyükleme yöneticileri imzalamak için kullanılır ve iptal edildikten sonra bu önyükleme yöneticilerinin güvenilmez ve yüklenmemesine neden olur.
Ancak, azaltmaları uygularsanız ve cihazlarınızı önyükleyen bir sorunla karşılaşırsanız, Windows yüklemesini gidermek için önce Windows UEFI CA 2023 sertifikasını kullanmak için önyüklenebilir ortamınızı güncellemeniz gerekir.
Microsoft, CVE-2023’ün aşamalı olarak piyasaya sürülmesi hakkında bir destek bülteninde, “Cihazla ilgili bir sorunla karşılaşırsanız, cihazınızı mevcut medyadan başlatamaz veya kurtaramazsınız.” -24932.
“Recovery veya yükleme medyasının, hafifletmeler uygulanan bir cihazla çalışması için güncellenmesi gerekecektir.”
Dün Microsoft, önyüklenebilir medyayı güncellemenize yardımcı olan bir PowerShell komut dosyası yayınladı, böylece Windows UEFI CA 2023 sertifikasını kullandı.
Kaynak: BleepingComputer
Komut dosyası hakkında yeni bir destek bültenini açıklar. “Bu makalede açıklanan PowerShell komut dosyası, Windows UEFI CA 2023 sertifikasına güvenen sistemlerde kullanılabilmesi için Windows önyüklenebilir medyayı güncellemek için kullanılabilir.”
PowerShell komut dosyası Microsoft’tan indirilebilir ve ISO CD/DVD görüntü dosyaları, USB flash sürücü, yerel bir sürücü yolu veya bir ağ sürücü yolu için önyüklenebilir ortam dosyalarını güncellemek için kullanılabilir.
Yardımcı programı kullanmak için, önce bu komut dosyasının doğru çalışması için gerekli olan Windows ADK’yı indirip yüklemeniz gerekir.
Çalıştırıldığında, komut dosyası Windows UEFI CA 2023 sertifikasını kullanmak için medya dosyalarını güncelleyecek ve bu sertifika ile imzalanan önyükleme yöneticilerini yükleyecektir.
Güvenlik güncellemelerinin icra aşamasına ulaşılmadan önce Windows yönetmenlerinin bu süreci test etmesi şiddetle tavsiye edilir. Microsoft bunun 2026 sonuna kadar olacağını ve başlamadan önce altı aylık bir bildirim vereceğini söyledi.