ESET araştırmacıları, Microsoft tarafından imzalanmış 11 adet eski UEFI (Unified Extensible Firmware Interface) shim önyükleyicisinde kritik güvenlik açıkları tespit etti. Bu açıklar, Secure Boot korumalarını atlatarak sistemlerin bootkit saldırılarına maruz kalmasına neden olabiliyor. Özellikle Linux dağıtımlarıyla kullanılan bu küçük yazılım parçaları, anakartın UEFI donanım yazılımı ile işletim sistemi arasında bir köprü görevi görüyor ve Secure Boot etkinleştirildiğinde sistemin önyüklenmesini sağlıyor.
UEFI shim'ler, Linux dağıtımlarının Secure Boot'u etkinleştirirken anakartın NVRAM'ına ayrı anahtarlar eklemeden güven modeli oluşturmasına olanak tanıyor. Ancak zamanla açık kaynak shim projesinde çeşitli güvenlik açıkları giderilmiş olsa da, tüm satıcılar önyükleyicilerini güncellemedi. Bu eski shim'ler, Microsoft tarafından iptal edilene kadar Secure Boot zincirinde imzalı ve güvenilir kalmaya devam etti. ESET, bu shim'lerin çoğunlukla sürüm 0.9 ve öncesine ait olduğunu ve Microsoft'un Haziran 2026 Patch Tuesday güncellemesiyle iptal edildiğini belirtiyor.
İki CVE ataması yapılan açıklar, CVE-2026-8863 ve CVE-2026-10797 olarak kayıtlara geçti. ESET'e göre, bu zafiyetler, Microsoft'un üçüncü taraf UEFI CA 2011 sertifikasına güvenen herhangi bir UEFI tabanlı makinede, işletim sisteminden bağımsız olarak Secure Boot'u atlatmak için kullanılabiliyor. Saldırganlar, kendi zafiyetli shim'lerini sisteme getirerek güvenli önyükleme sürecini aşabiliyor. Ayrıca, bu shim'lerin güvendiği ikinci aşama önyükleyiciler aracılığıyla saldırı yüzeyi genişliyor.
Uzmanların Görüşleri
ESET notlarında, bildirilen shim'ler tarafından güvenilen uygulamaların imza ve derleme zaman damgalarının 2013 ile 2025 yılları arasında değiştiğini, bunların önemli bir kısmının eski olduğunu ve BootHole gibi bilinen birçok güvenlik açığından etkilendiğini belirtiyor. GRUB2 önyükleyicisinde görülen BootHole açığı, bu eski shim'ler aracılığıyla hâlâ istismar edilebilir durumda. Bu sürekli güven, saldırganların Secure Boot etkin olsa bile önyükleme sürecinde güvenilmeyen kod çalıştırmasına ve bootkit yerleştirmesine olanak tanıyor.
Gelecekte Ne Bekleniyor?
ESET, bulgularını Şubat 2026'da CERT/CC'ye bildirdi. Haziran ayında Microsoft, tüm zafiyetli uygulamaları iptal ederek UEFI DBX (Yasaklı İmza Veritabanı) listesine ekledi. CERT/CC, sistem yöneticilerinin DBX iptallerini uygulamadan önce imza veritabanını (DB) güncellemeleri gerektiğini vurguluyor. Pratikte bu, önce güvenilen önyükleme uygulamalarının ve sertifikalarının güncellenmesi, ardından iptal listesinin dağıtılması anlamına geliyor. Bu sıraya uyulmaması, sistemlerin yeni güncellenmiş önyükleme bileşenlerini reddetmesine neden olabilir.
Uzmanlar, kurumsal ağlar, sanallaştırma sağlayıcıları ve büyük ölçekli dağıtımlar yapan bulut operatörlerinin bu güncellemeleri öncelikli olarak doğrulamaları ve dağıtmaları gerektiğini belirtiyor. 2017'den bu yana shim'ler bir inceleme sürecinden geçirilerek imzalanıp belgeleniyor, ancak öncesinde onaylanan shim'ler belgelenmemiş durumda. Bu nedenle, birçok eski ve hâlâ güvenilen shim'in varlığını sürdürdüğü ve sistemleri saldırılara açık bıraktığı düşünülüyor. Sistem yöneticilerinin, Secure Boot yapılandırmalarını gözden geçirmeleri ve Microsoft tarafından yayımlanan iptal listelerini acilen uygulamaları öneriliyor.
Kaynak: securityweek.com