Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) sistemlerinde Güvenli Önyükleme mekanizmasının atlanmasına olanak verebilecek, artık yamalanmış bir güvenlik açığı hakkında ayrıntılar ortaya çıktı.
ESET’in The ile paylaştığı yeni bir rapora göre, CVE tanımlayıcısı CVE-2024-7344 (CVSS puanı: 6,7) olarak atanan güvenlik açığı, Microsoft’un “Microsoft Corporation UEFI CA 2011” üçüncü taraf UEFI sertifikası tarafından imzalanan bir UEFI uygulamasında bulunuyor. Hacker Haberleri.
Kusurun başarıyla kullanılması, sistem önyüklemesi sırasında güvenilmeyen kodun yürütülmesine yol açabilir ve böylece saldırganların, yüklü işletim sisteminden bağımsız olarak Güvenli Önyüklemenin açık olduğu makinelere kötü amaçlı UEFI önyükleme kitleri dağıtmasına olanak tanır.
Güvenli Önyükleme, aygıtın yalnızca Orijinal Ekipman Üreticisi (OEM) tarafından güvenilen yazılımı kullanarak önyükleme yapmasını sağlayarak, bilgisayar başlatıldığında kötü amaçlı yazılımların yüklenmesini önleyen bir ürün yazılımı güvenlik standardıdır. Bu özellik, yüklenen kodun orijinalliğini, kaynağını ve bütünlüğünü doğrulamak için dijital imzalardan yararlanır.
Etkilenen UEFI uygulaması, Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. ve Signal Computer GmbH tarafından geliştirilen çeşitli gerçek zamanlı sistem kurtarma yazılım paketlerinin bir parçasıdır. –
- Howyar SysReturn 10.2.023_20240919 sürümünden önce
- Greenware GreenGuard 10.2.023-20240927 sürümünden önce
- Radix SmartRecovery 11.2.023-20240927 sürümünden önce
- Sanfong EZ-back Sistemi 10.3.024-20241127 sürümünden önce
- WASAY eRecoveryRX, 8.4.022-20241127 sürümünden önce
- CES NeoImpact 10.1.024-20241127 sürümünden önce
- SignalComputer HDD King, 10.3.021-20241127 sürümünden önce
ESET araştırmacısı Martin Smolár, “Güvenlik açığı, standart ve güvenli UEFI işlevleri LoadImage ve StartImage’ı kullanmak yerine özel bir PE yükleyicinin kullanılmasından kaynaklanıyor” dedi. “Sonuç olarak uygulama, UEFI Güvenli Önyükleme durumu ne olursa olsun, sistem başlatılırken cloak.dat adlı özel hazırlanmış bir dosyadan herhangi bir UEFI ikili dosyasının (imzasız bile olsa) yüklenmesine olanak tanıyor.”
Bu nedenle, CVE-2024-7344’ü silah haline getiren bir saldırgan, UEFI Güvenli Önyükleme korumalarını atlatabilir ve işletim sistemi yüklenmeden önce bile UEFI bağlamındaki önyükleme işlemi sırasında imzasız kod çalıştırarak onlara ana makineye gizli, kalıcı erişim sağlayabilir.
CERT Koordinasyon Merkezi (CERT/CC), “Bu erken önyükleme aşamasında yürütülen kod, sistemde kalmaya devam edebilir ve potansiyel olarak hem yeniden başlatmalarda hem de işletim sisteminin yeniden kurulumunda hayatta kalabilecek kötü amaçlı çekirdek uzantıları yükleyebilir.” dedi. “Ek olarak, işletim sistemi tabanlı ve uç nokta algılama ve yanıt (EDR) güvenlik önlemleriyle tespit edilmekten kaçabilir.”
Kötü niyetli aktörler, güvenlik açığı bulunan “reloader.efi” ikili dosyasının kendi kopyasını Microsoft üçüncü taraf UEFI sertifikasının kayıtlı olduğu herhangi bir UEFI sistemine getirerek istismarın kapsamını daha da genişletebilir. Ancak, güvenlik açığı bulunan ve kötü amaçlı dosyaları EFI sistem bölümüne dağıtmak için yükseltilmiş ayrıcalıklar gerekir: Windows’ta yerel yönetici ve Linux’ta kök.
Slovak siber güvenlik firması, bulguları Haziran 2024’te CERT/CC’ye sorumlu bir şekilde açıkladığını ve ardından Howyar Technologies ve ortaklarının ilgili ürünlerdeki sorunu ele aldığını söyledi. 14 Ocak 2025’te Microsoft, Salı Yaması güncellemesinin bir parçası olarak eski, güvenlik açığı bulunan ikili dosyaları iptal etti.
UEFI iptallerini uygulamanın dışında, EFI sistem bölümünde bulunan dosyalara erişimi yönetmek, Güvenli Önyükleme özelleştirmesi ve Güvenilir Platform Modülü (TPM) ile uzaktan doğrulama, bilinmeyen güvenlik açığı imzalı UEFI önyükleyicilerinin ve dağıtımının kötüye kullanılmasına karşı koruma sağlamanın diğer yollarından bazılarıdır. UEFI önyükleme kitleri.
Smolár, “Son yıllarda keşfedilen UEFI güvenlik açıklarının sayısı ve bunların yamalanmasındaki veya savunmasız ikili dosyaların makul bir süre içinde iptal edilmesindeki başarısızlıklar, UEFI Güvenli Önyükleme gibi önemli bir özelliğin bile aşılmaz bir engel olarak görülmemesi gerektiğini gösteriyor.” dedi.
“Ancak, güvenlik açığıyla ilgili olarak bizi en çok endişelendiren şey, benzer vakalarla karşılaştırıldığında oldukça iyi olan ikili dosyayı düzeltmek ve iptal etmek için gereken süre değil, bunun bu kadar bariz bir şekilde ortaya çıktığı ilk sefer olmadığı gerçeği. Güvenli olmayan imzalı UEFI ikili dosyasının keşfedilmesi, üçüncü taraf UEFI yazılım satıcıları arasında bu tür güvenli olmayan tekniklerin kullanımının ne kadar yaygın olduğu ve piyasada başka kaç tane benzer belirsiz ancak imzalı önyükleyici olabileceği konusunda soruları gündeme getiriyor.”