11 Güvenlik Açığı Olan UEFI Shim, Secure Boot'u Atlatıyor: 10 Yıllık Tehdit Windows

11 Güvenlik Açığı Olan UEFI Shim, Secure Boot'u Atlatıyor: 10 Yıllık Tehdit

ESET araştırmacıları, Microsoft tarafından imzalanmış 11 UEFI shim bootloader'ında kritik güvenlik açıkları tespit etti. Bu açıklar, Secure Boot korum

ESET araştırmacıları, Microsoft tarafından imzalanmış 11 UEFI shim bootloader'ında, Secure Boot'u atlatmaya olanak tanıyan kritik güvenlik açıkları keşfetti. Şubat 2026'da CERT/CC'ye bildirilen bu açıklar, 10 yıldan uzun süredir fark edilmemişti. Etkilenen shim sürümleri 0.9 ve altı olup, Microsoft'un 'Microsoft Corporation UEFI CA 2011' üçüncü taraf sertifikasıyla imzalanmış durumda. Bu, sertifikayı güvenen tüm UEFI sistemlerinin, işletim sisteminden bağımsız olarak bu shim'leri kabul edeceği anlamına geliyor. Saldırganlar, bu açıkları kullanarak Bootkitty, HybridPetya ve BlackLotus gibi gelişmiş UEFI bootkit'lerini çalıştırabiliyor.

Shim, Microsoft tarafından bir kez imzalanan küçük bir birinci aşama bootloader'dır. Bu sayede Linux dağıtımları, her güncelleme için yeniden imzalama sürecine girmeden Secure Boot altında çalışabilir. Ancak sorun, shim'in güvendiği ikinci aşama bootloader'ların (çoğunlukla GRUB 2) eski ve güvenlik açığı içeren sürümler olması. ESET, Oracle Linux shim'inin, 2015'te keşfedilmiş bir GRUB 2 güvenlik açığını kullandığını gösterdi. Bu açık, saldırganın özel hazırlanmış multiboot modülleriyle imzasız kod yüklemesine izin veriyor. Saldırı için herhangi bir bellek bozma veya tersine mühendislik gerekmemesi, tehdidi daha da ciddi hale getiriyor.

ESET'in keşfettiği güvenlik açıkları, yalnızca eski GRUB 2 sürümlerine güvenmekten kaynaklanmıyor. Shim sürüm 0.9'dan önceki sürümler, Machine Owner Key (MOK) kara listesini yok sayarak, kuruluşların iptal ettiğini düşündüğü ikili dosyaların yüklenmesine izin veriyor. Benzer şekilde, Secure Boot Advanced Targeting (SBAT) sistemi yalnızca shim 15.3 ve sonrasında mevcut. Daha eski shim'ler, SBAT politikasını kontrol etmiyor. Bu, kuruluşların Secure Boot'u güncel tuttuğunu düşünse bile, eski shim'ler aracılığıyla atlatılabileceği anlamına geliyor. ESET, 2017'den önceki shim gönderimlerinin kataloglanmadığını ve kaç tane eski shim'in hâlâ güvende olduğunun bilinmediğini vurguluyor.

Detaylar ve Etkileri

Etkilenen 11 shim için CVE-2026-8863 ve CVE-2026-10797 olmak üzere iki CVE kimliği yayınlandı. Microsoft, 9 Haziran Patch Tuesday güncellemesiyle birlikte, bu güvenlik açığı bulunan ikili dosyaları Secure Boot dbx güncellemesiyle iptal etti. Windows makineleri otomatik olarak güncellenirken, Linux kullanıcıları Linux Vendor Firmware Service (LVFS) üzerinden iptal güncellemesini alabilir. ESET, bu shim'lerin yaygın olarak dağıtılmış yazılımların parçası olduğunu ve birçok sistemde bulunabileceğini belirterek, yanlış tespitleri önlemek için tehlike göstergeleri (IoC) yayınlamadı. Bunun yerine, savunucuların koruma ve tespit bölümündeki tavsiyelere uymasını öneriyor.

Uzmanların Görüşleri

Bu güvenlik açıkları, kurumsal ağlarda ve kritik altyapılarda Secure Boot'a olan güveni sarsıyor. Saldırganlar, fiziksel erişim veya uzaktan kod çalıştırma gibi yöntemlerle bu shim'leri sisteme sokarak boot sürecine müdahale edebilir. Özellikle Bootkitty gibi bootkit'ler, işletim sistemi yüklendikten sonra bile kalıcılık sağlayabilir. ESET, bu tehdidin ciddiyetini vurgulayarak, kurumların acilen güncelleme yapması gerektiğini belirtiyor. Ayrıca, eski shim'lerin kullanılmadığından emin olmak için sistemlerin düzenli olarak denetlenmesi öneriliyor.

Kullanıcıların ve sistem yöneticilerinin, Microsoft'un Haziran 2026 Patch Tuesday güncellemesini hemen uygulaması kritik önem taşıyor. Linux sistemlerinde, LVFS üzerinden dbx güncellemesi manuel olarak da çekilebilir. Ayrıca, sistemdeki shim sürümlerini kontrol ederek, 0.9 ve altındaki sürümlerin kullanılmadığından emin olunmalı. Eski GRUB 2 sürümleri yerine güncel ve yamalı sürümler tercih edilmeli. ESET'in raporu, Secure Boot'un yalnızca güncel tutulduğunda etkili olduğunu bir kez daha hatırlatıyor. Bu tür güvenlik açıkları, boot seviyesindeki korumaların sürekli izlenmesi ve güncellenmesi gerektiğini gösteriyor.

Kaynak: infosecurity-magazine.com

Paylaş: