Siber güvenlik dünyasında önemli bir gelişme yaşandı. Araştırmacılar, Microsoft tarafından imzalanmış 11 eski UEFI (Unified Extensible Firmware Interface) uygulaması keşfetti. Bu uygulamalar, modern firmware standardını kullanan çoğu sistemde Secure Boot korumasını atlatmak için kötüye kullanılabiliyor. ESET güvenlik araştırmacısı Martin Smolár, bu güvenlik açığını kullanan bir saldırganın sistem başlatma sırasında güvenilmeyen kod çalıştırabileceğini ve böylece kötü amaçlı UEFI bootkit'leri veya diğer zararlı yazılımları devreye sokabileceğini belirtiyor.
Bu zafiyetten etkilenen UEFI shim bootloader'ları, Microsoft'un 'Microsoft Corporation UEFI CA 2011' üçüncü taraf UEFI sertifika otoritesi (CA) sertifikasına güvenen her UEFI tabanlı makineyi tehdit ediyor. Bu sertifika, Secure Boot altında çalışması amaçlanan üçüncü taraf önyükleme bileşenlerini imzalamak için kullanılıyordu. Sertifika 27 Haziran 2026'da sona ermiş ve yerini Microsoft UEFI CA 2023 ile Microsoft Option ROM UEFI CA 2023 almıştı. Ancak eski sertifikayla imzalanmış shim'ler hâlâ güvenilir olduğu için saldırganlar bunları kullanabiliyor.
Shim, hafif ve açık kaynaklı bir UEFI bootloader'dır. Bilgisayarın anakart firmware'i ile Linux işletim sistemi arasında bir aracı görevi görür. Temel amacı, Secure Boot etkinken Linux dağıtımlarının önyüklenmesine izin vermektir. Shim'in kendisi, çoğunlukla Microsoft imzasıyla, firmware tarafından güvenilen bir anahtarla imzalanır. Süreç şöyle işler: UEFI firmware shim'i yükler ve imzasını firmware'de depolanan Microsoft CA'ya karşı doğrular. Shim daha sonra ikinci aşama bootloader'ı (çoğu durumda GRUB 2) kendi gömülü satıcı sertifikasına karşı doğrular. GRUB 2 ise aynı satıcı sertifikasını kullanarak çekirdeği doğrular.
ESET, güncel olmayan ancak hâlâ güvenilen bu shim'lerin, sistem başlatılırken rastgele kod çalıştırmak için kullanılabileceğini ve Secure Boot korumaları etkin olsa bile Bootkitty, HybridPetya veya BlackLotus gibi UEFI bootkit'lerinin devreye sokulabileceğini belirtiyor. Açık kaynaklı shim projesinin özellikle 0.9 ve öncesi sürümlerindeki UEFI bootloader'ları, Microsoft tarafından Şubat 2026'da yapılan sorumlu açıklamanın ardından Haziran 2026 Patch Tuesday güncellemesiyle iptal edildi. Etkilenen shim bootloader'ları arasında Spyrus WTGCreator, RedHat Enterprise Linux, CentOS, baramundi Management Suite, WhiteCanyon/Blancco WipeDrive, Abitti, ROSA Linux, Oracle Linux, PC Doctor Service Center, OpenSuse UEFI Shim loader ve OpenSuse Shim 2.1 yer alıyor.
Bu açığın bir sonucu olarak, saldırganlar 'Bring Your Own Vulnerable Driver' (BYOVD) saldırı tekniğini kullanarak bu savunmasız shim bootloader'larını kötüye kullanabiliyor. Böylece işletim sistemi başlatılmadan önce erken önyükleme aşamasında rastgele kod çalıştırabiliyorlar. Linux sistemlerinde ayrıca Machine Owner Key (MOK) izin listesi adı verilen bir güvenlik özelliği bulunur. Bu özellik, UEFI Secure Boot etkinken kullanıcıların imzasız sürücüleri yüklemesine izin verir. Shim sürüm 0.9'da eski imzalama sertifikalarını iptal etmek için bir MOK engelleme listesi (denylist) getirilmiş olsa da, saldırganlar güncel shim'i eski bir Microsoft imzalı UEFI shim ile değiştirip MOK engelleme listesini atlatabiliyor.
Üstelik saldırı, savunmasız önyükleme bileşenlerini iptal etmek için tasarlanan Secure Boot Advanced Targeting (SBAT) mekanizmasını da devre dışı bırakabiliyor. SBAT, her dosyaya karşılık gelen bireysel kriptografik hash'lerin devasa bir blok listesini tutmak yerine, önyükleme zincirindeki bir bileşende güvenlik açığı keşfedildiğinde minimum kabul edilebilir nesil numarasını günceller. Eski ve savunmasız bir sürüm kullanılmaya çalışılırsa sistem bunu engeller ve hata verir. CERT/CC, satıcıya özel bootloader'ların, yukarı akış projesindeki güvenlik açıkları kamuya duyurulup düzeltildikten sonra güncellenmediğini belirtiyor.
Bu güvenlik açıkları CVE-2026-8863 ve CVE-2026-10797 olarak izleniyor. CVE-2026-10797, shim'de daha önce düzeltilmiş ancak sertifika tabanlı iptal mekanizmasının ikinci aşama bootloader'ın imza başlığı değiştirilerek atlatılmasına izin veren bir sorunu referans alıyor. ESET, 'Microsoft Corporation UEFI CA 2011' sertifikasının süresinin dolmasının bu güvenlik açığını daha da kritik hale getirdiği konusunda uyarıyor. Kullanıcıların, sistemlerini güncel tutmaları ve Microsoft'un yayınladığı DBX iptal listesi güncellemelerini uygulamaları önemle tavsiye ediliyor. Ayrıca, güvenilmeyen kaynaklardan gelen UEFi uygulamalarına karşı dikkatli olunmalı ve mümkünse Secure Boot ayarları sıkılaştırılmalıdır.
Kaynak: thehackernews.com