ESET araştırmacıları, çoğu UEFI tabanlı sistemi etkileyen ve saldırganların UEFI Güvenli Önyüklemeyi atlamasına olanak tanıyan bir güvenlik açığı (CVE-2024-7344) tespit etti.
Sorun, Microsoft’un “Microsoft Corporation UEFI CA 2011” üçüncü taraf sertifikasıyla imzalanmış bir UEFI uygulamasında bulundu. Bu güvenlik açığından yararlanılması, sistem önyüklemesi sırasında güvenilmeyen kodun yürütülmesine olanak tanır ve saldırganların, işletim sisteminden bağımsız olarak UEFI Güvenli Önyükleme etkinleştirilmiş sistemlerde bile Bootkitty veya BlackLotus gibi kötü amaçlı UEFI önyükleme kitlerini dağıtmasına olanak tanır.
Etkilenen satıcılar
Etkilenen UEFI uygulaması, Howyar Technologies, Greenware Technologies, Radix Technologies, SANFONG, Wasay Yazılım Teknolojisi, Bilgisayar Eğitim Sistemi ve Signal Computer tarafından geliştirilen çeşitli gerçek zamanlı sistem kurtarma yazılım paketlerinin bir parçasıdır.
Güvenlik açığı bulunan yazılım ürünlerinin listesi:
- Howyar SysReturn 10.2.023_20240919 sürümünden önce
- Greenware GreenGuard 10.2.023-20240927 sürümünden önce
- Radix SmartRecovery 11.2.023-20240927 sürümünden önce
- Sanfong EZ-back Sistemi 10.3.024-20241127 sürümünden önce
- WASAY eRecoveryRX, 8.4.022-20241127 sürümünden önce
- CES NeoImpact 10.1.024-20241127 sürümünden önce
- SignalComputer HDD King, 10.3.021-20241127 sürümünden önce
ESET araştırmacısı Martin Smolár, “Son yıllarda keşfedilen UEFI güvenlik açıklarının sayısı ve bunların yamalanmasındaki veya savunmasız ikili dosyaların makul bir süre içinde iptal edilmesindeki başarısızlıklar, UEFI Güvenli Önyükleme gibi önemli bir özelliğin bile aşılamaz bir engel olarak görülmemesi gerektiğini gösteriyor” diyor. , güvenlik açığını keşfeden kişi. “Ancak, güvenlik açığıyla ilgili olarak bizi en çok endişelendiren şey, benzer vakalarla karşılaştırıldığında oldukça iyi olan ikili dosyayı düzeltmek ve iptal etmek için gereken süre değil, bunun bu kadar bariz bir şekilde ortaya çıktığı ilk sefer olmadığı gerçeği. güvenli olmayan imzalı UEFI ikili dosyası keşfedildi. Bu, üçüncü taraf UEFI yazılım satıcıları arasında bu tür güvenli olmayan tekniklerin kullanımının ne kadar yaygın olduğu ve piyasada başka kaç tane benzer belirsiz ancak imzalı önyükleyici olabileceğine dair soruları gündeme getiriyor.”
Sömürü
Bu güvenlik açığından yararlanılması, etkilenen kurtarma yazılımının yüklü olduğu sistemlerle sınırlı değildir; Saldırganlar, güvenlik açığı bulunan ikili dosyanın kendi kopyasını, Microsoft üçüncü taraf UEFI sertifikasının kayıtlı olduğu herhangi bir UEFI sistemine yerleştirebilir. Ancak, güvenlik açığı bulunan ve kötü amaçlı dosyaların EFI sistem bölümüne dağıtılması, yükseltilmiş ayrıcalıklar gerektirir (Windows’ta yerel yönetici veya Linux’ta kök).
Güvenlik açığı, standart ve güvenli UEFI işlevleri LoadImage ve StartImage yerine özel bir PE yükleyicinin kullanılmasından kaynaklanıyor. Microsoft üçüncü taraf UEFI imzalamanın etkin olduğu tüm UEFI sistemleri etkilenir (Windows 11 Güvenli çekirdekli bilgisayarlarda bu seçeneğin varsayılan olarak devre dışı olması gerekir).
Azaltma
ESET, Haziran 2024’te güvenlik açığını, etkilenen satıcılarla iletişime geçen CERT/CC’ye bildirdi. Sorun o zamandan beri etkilenen ürünlerde çözüldü ve Microsoft, Ocak 2025 Yaması Salı günü eski, savunmasız ikili dosyaları iptal etti.
Güvenlik açığı, Microsoft’un en son UEFI iptalleri uygulanarak azaltılabilir. Windows sistemleri otomatik olarak güncellenmelidir. Microsoft’un CVE-2024-7344 güvenlik açığına ilişkin bilgilerine buradan ulaşabilirsiniz. Linux sistemleri için güncellemeler Linux Satıcı Firmware Hizmeti aracılığıyla sağlanmalıdır.