ESET araştırmacıları, Microsoft tarafından imzalanmış 11 UEFI shim bootloader'ında, Secure Boot'u atlatmaya olanak tanıyan güvenlik açıkları keşfetti. Bu açıklar, on yıldan uzun süredir fark edilmeden kalmış durumda. Şubat 2026'da CERT/CC'ye bildirilen güvenlik açıkları, 0.9 ve altı sürümlerdeki shim'leri etkiliyor. Bu shim'ler, Microsoft Corporation UEFI CA 2011 üçüncü taraf sertifikasıyla imzalanmış, bu nedenle bu sertifikaya güvenen tüm UEFI sistemleri, işletim sisteminden bağımsız olarak bu shim'leri kabul ediyor.
Saldırganlar, bu güvenlik açıklarını kullanarak boot sırasında güvenilmeyen kod çalıştırabiliyor. Bu da Bootkitty, HybridPetya ve BlackLotus gibi UEFI bootkitlerinin, Secure Boot etkin olsa bile sisteme sızmasına olanak tanıyor. Shim'ler, Linux dağıtımlarının Secure Boot altında önyükleme yapabilmesi için Microsoft tarafından bir kez imzalanan küçük birinci aşama bootloader'lar. Ancak saldırgan, güvenlik açığı bulunan bir shim'i, Microsoft üçüncü taraf sertifikasına sahip herhangi bir sisteme getirip buradan önyükleme yapabiliyor.
Asıl tehlike, her bir shim'in hâlâ güvendiği eski ikinci aşama bootloader'lardan kaynaklanıyor. Bu bootloader'ların çoğu GRUB 2 ve imza zaman damgaları 2013'ten 2025'e kadar uzanıyor. Eski GRUB 2 sürümleri, bilinen güvenlik açıkları içeriyor. ESET, Oracle Linux shim'ini kullanarak bir saldırı senaryosu gerçekleştirdi. Bu shim, 2015 yılında keşfedilmiş bir güvenlik açığı bulunan GRUB 2 ikili dosyasına güveniyor. Saldırgan, özel hazırlanmış çoklu önyükleme modülleriyle imzasız kod yükleyebiliyor.
Uzmanların Görüşleri
Saldırı için herhangi bir bellek bozulması veya tersine mühendislik gerekmiyor. Saldırgan, imzasız bir çekirdek imajı oluşturup, eski shim ve GRUB 2 ile birlikte sisteme kopyalıyor ve boot sırasında tek bir komutla yüklüyor. Bu yöntem, modern güvenlik mekanizmalarını da devre dışı bırakıyor. Shim sürüm 0.9'dan önceki sürümler, Machine Owner Key (MOK) kara listesini kontrol etmiyor. Bu nedenle, bir kuruluşun iptal ettiğini düşündüğü ikili dosyalar hâlâ yüklenebiliyor.
Önemli Gelişmeler
Benzer bir eksiklik, Secure Boot Advanced Targeting (SBAT) için de geçerli. SBAT, shim 15.3 ile getirilen sürüm tabanlı bir iptal sistemi, ancak eski shim'ler SBAT politikasını hiç kontrol etmiyor. ESET, asıl sorunun görünürlük olduğunu vurguluyor. Shim gönderimleri yalnızca 2017'den beri şeffaf bir şekilde kataloglanıyor ve hâlâ güvenilen kaç eski shim'in dolaşımda olduğu bilinmiyor.
Keşfedilen güvenlik açıkları için iki CVE kimliği yayımlandı: CVE-2026-8863 ve CVE-2026-10797. Microsoft, 9 Haziran 2026 Patch Tuesday güncellemesiyle bu güvenlik açığına sahip ikili dosyaları dbx güncellemesiyle iptal etti. Windows makineleri otomatik olarak güncellenirken, Linux kullanıcıları Linux Vendor Firmware Service üzerinden iptal güncellemesini çekebilir. ESET, yanlış tanımlamaları önlemek için tehlike göstergeleri (IOC) yayımlamadı, ancak savunmacıların korunma ve tespit bölümündeki tavsiyelere uymasını öneriyor.
Bu güvenlik açıkları, Secure Boot'un yalnızca imza doğrulamasına güvenmenin yeterli olmadığını, aynı zamanda bootloader'ların ve bunların güvendiği ikili dosyaların sürekli güncellenmesi gerektiğini gösteriyor. Sistem yöneticileri, eski shim'leri ve GRUB 2 sürümlerini kullanmamalı, Microsoft'un dbx güncellemelerini düzenli olarak uygulamalıdır. Ayrıca, MOK kara listesi ve SBAT gibi ek güvenlik katmanlarını etkinleştirmek, bu tür saldırılara karşı korunmada kritik öneme sahiptir.
Kaynak: infosecurity-magazine.com