ESET araştırmacıları, Microsoft tarafından imzalanmış 11 UEFI shim bootloader'da, 10 yılı aşkın süredir fark edilmeyen güvenlik açıkları buldu. Bu açıklar, saldırganların Secure Boot korumasını atlayarak sistemlere yetkisiz kod yüklemesine olanak tanıyor. ESET, Şubat 2026'da CERT/CC'ye bildirdiği bu açıklarla ilgili olarak, tüm shim sürümlerinin 0.9 veya altı olduğunu ve Microsoft'un UEFI CA 2011 üçüncü taraf sertifikasıyla imzalandığını belirtti. Bu, sertifikayı güvenen tüm UEFI sistemlerinin, işletim sisteminden bağımsız olarak bu shim'leri kabul edeceği anlamına geliyor. Güvenlik açıkları, Bootkitty, HybridPetya ve BlackLotus gibi UEFI bootkitlerinin Secure Boot açık olsa bile çalıştırılabilmesine olanak sağlıyor.
Shim, Linux dağıtımlarının Secure Boot altında çalışabilmesi için Microsoft tarafından bir kez imzalanan küçük bir ilk aşama bootloader'dır. Bu sayede, her güncelleme için yeniden imzalama gereksinimi ortadan kalkar. Ancak, saldırganlar bu imzalı shim'leri kullanarak, Microsoft'un üçüncü taraf sertifikasını taşıyan herhangi bir sisteme erişip bu shim'den önyükleme yapabilir. Tehdit, her bir shim'in güvendiği ikinci aşama bootloader'ların (çoğunlukla GRUB 2) güncel olmamasından kaynaklanıyor. Güvenilen ikili dosyaların imza zaman damgaları 2013 ile 2025 arasında değişiyor ve eski GRUB 2 sürümleri, iyi belgelenmiş açıklar içeriyor.
ESET, Oracle Linux shim'ini kullanarak bir saldırı senaryosu gösterdi. Bu shim, 2015'te keşfedilen bir açığı barındıran bir GRUB 2 ikili dosyasına güveniyor. Bu açık, saldırganın hazırlanmış çoklu önyükleme modülleri aracılığıyla imzasız kod yüklemesine izin veriyor. Saldırı için bellek bozulması veya tersine mühendislik gerekmiyor. Saldırgan, imzasız bir çekirdek imajı oluşturup, onu eski shim ve GRUB 2 ile birlikte sisteme kopyalayarak önyükleme sırasında tek bir komutla çalıştırabiliyor. Bu yöntem, Secure Boot'u etkisiz hale getirerek sistemin tamamen ele geçirilmesine olanak tanıyor.
Eski shim sürümleri, daha yeni güvenlik önlemlerini de atlıyor. Machine Owner Key (MOK) kara liste uygulaması sadece sürüm 0.9'da geldiği için, daha eski shim'ler bu listeyi yok sayıyor. Bu, bir kuruluşun iptal ettiğini düşündüğü ikili dosyaların saldırgan tarafından kullanılabileceği anlamına geliyor. Aynı durum, shim 15.3 ile tanıtılan sürüm tabanlı iptal sistemi Secure Boot Advanced Targeting (SBAT) için de geçerli: eski shim'ler SBAT politikasını hiç kontrol etmiyor. ESET, asıl sorunun görünürlük olduğunu vurguluyor: Shim gönderimleri yalnızca 2017'den beri şeffaf bir şekilde kataloglanıyor ve hala kaç eski, güvenilen shim'in dolaşımda olduğu bilinmiyor.
Önemli Gelişmeler
Keşfedilen güvenlik açıklarına CVE-2026-8863 ve CVE-2026-10797 numaraları verildi. Microsoft, 9 Haziran 2026 Patch Tuesday güncellemesiyle birlikte gelen dbx güncellemesinde bu savunmasız ikili dosyaları iptal etti. Windows kullanıcıları otomatik güncellemeyle bu iptali alırken, Linux kullanıcıları Linux Vendor Firmware Service üzerinden iptal güncellemesini çekebilir. ESET, savunmasız shim'lerin meşru yazılım paketlerinin parçası olduğunu ve binlerce sistemde bulunabileceğini belirterek, yanlış tanımlamaya yol açmamak için saldırı göstergeleri (IoC) yayınlamadı. Bunun yerine, savunmacıların koruma ve tespit bölümündeki tavsiyelere uyması gerektiği ifade edildi.
Teknik Analiz
Bu güvenlik açıkları, UEFI Secure Boot'un temel bir güven mekanizmasına dayandığını ve bu mekanizmanın eski, güvenilir ancak güvenlik açığı içeren bileşenler tarafından nasıl aşılabileceğini gösteriyor. Kullanıcıların, sistemlerini güncel tutmaları ve özellikle Linux dağıtımlarında, shim ve GRUB gibi önyükleme bileşenlerinin güncel sürümlerini kullanmaları kritik önem taşıyor. Ayrıca, kurumsal ortamlarda MOK ve SBAT gibi mekanizmaların etkinleştirilmesi ve düzenli olarak güncellenmesi, bu tür saldırılara karşı korunmada önemli bir adım.
Kaynak: infosecurity-magazine.com