ESET araştırmacıları, Microsoft tarafından imzalanmış 11 adet UEFI shim bootloader'da, on yılı aşkın süredir fark edilmemiş güvenlik açıkları keşfetti. Bu açıklar, saldırganların Secure Boot korumasını atlayarak geniş bir sistem yelpazesinde çalışmasına olanak tanıyor. Şubat 2026'da CERT Koordinasyon Merkezi'ne bildirilen bu shim'ler, Microsoft'un 2011 tarihli üçüncü taraf UEFI CA sertifikası altında imzalanmış durumda. Bu, sertifikaya güvenen herhangi bir UEFI sisteminin, işletim sistemi ne olursa olsun bu shim'leri kabul edeceği anlamına geliyor.
Açıklardan yararlanılması, önyükleme sırasında güvenilmeyen kodun çalıştırılmasına izin veriyor ve Secure Boot açık olsa bile Bootkitty, HybridPetya ve BlackLotus gibi UEFI bootkit'lerinin kapısını aralıyor. Sorun, tek bir hata değil; daha çok, her bir shim'in hâlâ güvendiği güncel olmayan ikinci aşama bootloader'lar (çoğunlukla GRUB 2) ile ilgili. Bu güvenilen ikili dosyaların imza zaman damgaları 2013 ile 2025 arasında değişiyor ve eski GRUB 2 sürümleri iyi belgelenmiş kusurlar taşıyor.
ESET, Oracle Linux shim'ini kullanarak bu durumu gösterdi. Oracle shim'i, 2015'te keşfedilen ve hazırlanmış multiboot modülleri aracılığıyla imzasız kod yüklenmesine izin veren bir GRUB 2 açığına karşı savunmasız bir ikili dosyaya güveniyor. Saldırı için bellek bozulması veya tersine mühendislik gerekmiyor. Saldırganın yapması gereken tek şey, imzasız bir çekirdek imajı oluşturmak, eski shim ve GRUB 2 ile birlikte kopyalamak ve önyükleme sırasında tek bir komutla yüklemek.
Gelecekte Ne Bekleniyor?
Bu shim'ler ayrıca, bu tür saldırıları engellemek için geliştirilmiş mekanizmaları da devre dışı bırakıyor. Makine Sahibi Anahtarı (MOK) kara liste uygulaması yalnızca shim 0.9 sürümünde eklendiği için, daha eski shim'ler bu listeyi yok sayıyor ve kuruluşun iptal ettiğini düşündüğü ikili dosyaların yüklenmesine izin veriyor. Aynı durum, shim 15.3 ile getirilen sürüm tabanlı iptal sistemi SBAT (Secure Boot Advanced Targeting) için de geçerli; daha eski shim'ler SBAT politikasını asla kontrol etmiyor.
Sistem Güvenliği
ESET'in uyarısına göre, daha derin bir sorun görünürlük eksikliği. Shim gönderimleri yalnızca 2017'den beri şeffaf bir şekilde kayıt altına alınıyor ve dolaşımda kaç tane eski, hâlâ güvenilen shim olduğu bilinmiyor. Raporda, CVE-2026-8863 ve CVE-2026-10797 olmak üzere iki CVE kimliği açıklandı ve Microsoft, 9 Haziran Patch Tuesday güncellemesiyle birlikte yayınlanan dbx güncellemesinde savunmasız ikili dosyaları iptal etti.
Windows makineleri otomatik olarak güncellenirken, Linux kullanıcıları iptal işlemini Linux Vendor Firmware Service üzerinden çekebilir. ESET, 'Savunmasız shim'ler, bu yükleyiciler aracılığıyla hiç tehlikeye atılmamış binlerce sistemde bulunan meşru yazılım paketlerinin parçası olduğu için, kitlesel yanlış tanımlamayı önlemek adına tehlike göstergeleri sağlamıyoruz' açıklamasını yaptı. Bunun yerine savunmacıların 'Korunma ve tespit' bölümündeki tavsiyelere uyması gerektiği belirtildi.
Kaynak: infosecurity-magazine.com