Microsoft’un Windows ve Linux cihazlarını kötü amaçlı yazılımlardan korumak için geliştirdiği Secure Boot standardı, 14 yıllık ömrünün 13 yılı boyunca aşılabilir durumdaydı. ESET güvenlik araştırmacıları, en az biri 2013 yılına ait olmak üzere, bilinen güvenlik açıklarına sahip olmasına rağmen hâlâ Microsoft tarafından imzalı olan 11 adet firmware imajı tespit etti. Bu imajlar, Secure Boot’un Linux ve yardımcı yazılımlara genişletilmesi için kullanılan 'shim'ler olarak biliniyor. Acemi hackerların bile uygulayabileceği basit bir teknikle, bu eski shim'ler kullanılarak Secure Boot tamamen devre dışı bırakılabiliyor.
Secure Boot, 2012 yılında bootkit adı verilen kötü amaçlı firmware saldırılarını engellemek için hayata geçirilmişti. Bootkit'ler, cihaza kısa süreli fiziksel erişim sağlayan saldırganlar tarafından, cihaz kapalıyken bile yüklenebiliyor. Rusya devlet destekli hackerların 2018'de kullandığı LoJax, 2020'deki MosaicRegressor, 2022'deki CosmicStrand ve 2023'teki BlackLotus gibi bootkit'ler, Secure Boot olmadan sistemlere bulaşabiliyor. Ayrıca ESpecter, FinSpy ve MoonBounce gibi diğer bootkit'ler de vahşi ortamda tespit edilmiş durumda.
ESET araştırmacısı Martin Smolár, konuyla ilgili yaptığı açıklamada 'Bu eski shim'leri tehlikeli yapan şey yeni bir güvenlik açığı değil. UEFI Secure Boot'u atlatmak için yeni bir zafiyete ihtiyaç yok. Bir saldırganın karmaşık istismar teknikleri kullanması gerekmiyor; sadece eski, hâlâ güvenilen ancak iptal edilmemiş bir shim ikilisine ve UEFI shim'lerinin nasıl çalıştığına dair temel bir anlayışa ihtiyacı var. Bu, UEFI Secure Boot gibi temel bir güvenlik özelliğini atlatmak için yeterli' ifadelerini kullandı.
Detaylar ve Etkileri
Sorunun temelinde, Microsoft'un shim'lerin imzalanmasını denetlemesine rağmen, güvenlik açıkları tespit edildikten sonra bu imajları iptal etmemesi yatıyor. Bu shim'ler, hem Windows hem de Linux cihazlarına yüklenebildiği için tehdit her iki işletim sistemi kullanıcılarını da kapsıyor. Saldırgan, shim'i yükledikten sonra, zorunlu olan dijital imza zincirini aşarak, önyükleme sürecinin erken aşamalarında çalışan ve işletim sistemi yeniden yüklense veya sabit disk değiştirilse bile kalıcı olan kötü amaçlı firmware yükleyebiliyor.
Bu güvenlik açığı, Secure Boot'un temel prensiplerinden birini ihlal ediyor: yalnızca güvenilir ve güncel imzalı yazılımların çalışmasına izin vermek. Eski shim'lerin hâlâ imzalı olması, saldırganlara yıllardır açık bir kapı bırakıyor. ESET, bu shim'lerin Microsoft tarafından derhal iptal edilmesi gerektiğini vurguluyor. Kullanıcıların ise güncel UEFI ve işletim sistemi güncellemelerini takip etmeleri, bilinmeyen kaynaklardan gelen yazılımları yüklememeleri ve mümkünse Secure Boot ayarlarını sıkılaştırmaları öneriliyor.
Önemli Gelişmeler
Bu olay, siber güvenlik dünyasında bir kez daha eski ve unutulmuş bileşenlerin ne kadar büyük riskler taşıyabileceğini gösteriyor. Microsoft'un bu açığı kapatmak için hızlı adım atması beklenirken, kullanıcıların da kendi güvenlik önlemlerini almaları kritik önem taşıyor. Secure Boot'un tam anlamıyla güvenli olabilmesi için imza yönetim süreçlerinin sıkılaştırılması ve eski imzaların düzenli olarak iptal edilmesi gerekiyor.
Kaynak: arstechnica.com