Yeni keşfedilen güvenlik açığı CVE-2024-7344’ün, UEFI Güvenli Önyükleme mekanizmasında, UEFI tabanlı sistemlerin çoğunu etkileme potansiyeli olan kritik bir kusur olduğu belirlendi.
ESET araştırmacıları tarafından ortaya çıkarılan bu güvenlik açığı, saldırganların Güvenli Önyükleme korumalarını atlamasına ve önyükleme işlemi sırasında güvenilmeyen kod yürütmesine olanak tanıyarak Bootkitty ve BlackLotus gibi kötü amaçlı UEFI önyükleme kitlerinin konuşlandırılmasına olanak tanıyor. Bu güvenlik açığının, Güvenli Önyükleme etkin olsa bile sistemleri etkilemesi endişe vericidir.
Kusur, Microsoft’un “Microsoft Corporation UEFI CA 2011” üçüncü taraf sertifikasıyla imzalanmış bir UEFI uygulamasında bulunuyor. Güvenlik açığı, standart ve güvenli UEFI işlevleri yerine özel bir PE yükleyicinin kullanılmasından kaynaklanıyor LoadImage Ve StartImage.
Bu gözetim, imzasız ikili dosyaların özel olarak hazırlanmış bir dosyadan yüklenmesine izin verir. cloak.dat sistem başlatma sırasında Güvenli Önyükleme bütünlük kontrollerini tamamen atlayarak.
Etkilenen Yazılım ve Satıcılar
Savunmasız UEFI uygulaması, Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. dahil olmak üzere birden fazla satıcı tarafından geliştirilen çeşitli gerçek zamanlı sistem kurtarma yazılım paketlerine entegre edilmiştir. ve Signal Computer GmbH. Etkilenen ürünler şunları içerir:
- Howyar SysDönüş (10.2.023_20240919’dan önceki sürümler)
- Greenware GreenGuard (10.2.023-20240927’den önceki sürümler)
- Radix SmartRecovery (11.2.023-20240927’den önceki sürümler)
- Sanfong EZ-geri Sistemi (10.3.024-20241127’den önceki sürümler)
- WASAY eRecoveryRX (8.4.022-20241127’den önceki sürümler)
- CES NeoImpact (10.1.024-20241127’den önceki sürümler)
- SignalComputer HDD Kralı (10.3.021-20241127’den önceki sürümler).
ESET raporuna göre, CVE-2024-7344’ün kötüye kullanılması, saldırganların meşru önyükleyici ikili dosyalarını EFI Sistem Bölümünde (ESP) kötü amaçlı olanlarla değiştirmesine olanak tanıyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Bu, imzasız kodun erken önyükleme aşamasında yürütülmesine olanak tanıyarak saldırganların sisteme kalıcı erişimini sağlarken, uç nokta algılama ve yanıt (EDR) çözümleri gibi işletim sistemi düzeyindeki güvenlik araçlarının tespitinden kaçmasını sağlar.
Kötü amaçlı dosyaların ESP’ye dağıtılması için Windows’ta yerel yönetici hakları veya Linux’ta kök erişimi gibi yükseltilmiş ayrıcalıklar gerekir.
ESET, Haziran 2024’te bu güvenlik açığını CERT Koordinasyon Merkezi’ne (CERT/CC) bildirdi ve bu durum, etkilenen sağlayıcılarla sorunun çözülmesi için koordineli çaba gösterilmesine yol açtı. Microsoft, 14 Ocak 2025 Salı Yaması güncellemesinin bir parçası olarak güvenlik açığı bulunan ikili dosyaları iptal etti.
Kullanıcıların, Microsoft veya ilgili işletim sistemi satıcıları tarafından sağlanan en son UEFI iptallerini uygulayarak sistemlerini derhal güncellemeleri önerilir.
Windows kullanıcıları için güncellemeler Windows Update aracılığıyla otomatik olarak uygulanmalıdır. Linux kullanıcıları güncellemeleri Linux Satıcı Firmware Hizmeti aracılığıyla alabilirler.
Bu olay, üçüncü taraf UEFI yazılım güvenliği uygulamalarına ve Microsoft’un UEFI uygulamaları için kod imzalama sürecine ilişkin daha geniş endişeleri vurgulamaktadır.
Böyle “açıkça güvenli olmayan” imzalı bir ikili dosyanın keşfi, üçüncü taraf yazılımlarda tespit edilemeyen başka kaç tane savunmasız önyükleyicinin var olabileceği konusunda soruları gündeme getiriyor.
ESET araştırmacıları, gelecekte benzer güvenlik açıklarının önlenmesi amacıyla Microsoft’un üçüncü taraf UEFI uygulamalarının imzalanmasına ilişkin inceleme sürecinde daha fazla şeffaflık sağlanması çağrısında bulundu.
Potansiyel istismara karşı koruma sağlamak için:
- Etkilenen kurtarma yazılımı için mevcut tüm güncellemeleri uygulayın.
- Sisteminizin Güvenli Önyükleme Yasak İmza Veritabanının (DBX) güncel olduğundan emin olun.
- Yetkisiz değişikliklere karşı UEFI yapılandırmalarını düzenli olarak denetleyin.
Şu ana kadar gerçek dünyada herhangi bir istismar girişimi tespit edilmemiş olsa da uzmanlar, yama yapılmaması durumunda CVE-2024-7344 gibi güvenlik açıklarının gelişmiş tehdit aktörleri tarafından silah haline getirilebileceği konusunda uyarıyor.
Bu keşif, kritik sistemlerin ortaya çıkan tehditlere karşı korunmasında güçlü ürün yazılımı güvenlik uygulamalarının ve zamanında yama yönetiminin önemini vurgulamaktadır.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri