Microsoft'un Secure Boot'u 10 Yıldır Kırık: Kimse Fark Etmedi Yazılım

Microsoft'un Secure Boot'u 10 Yıldır Kırık: Kimse Fark Etmedi

Microsoft'un Secure Boot teknolojisi, 13 yıldır kolayca atlanabiliyordu. ESET, eski imzalı shim'lerin bootkit saldırılarında kullanıldığını tespit ett

Microsoft'un 2012 yılında Windows cihazlarını firmware enfeksiyonlarından korumak için geliştirdiği Secure Boot standardı, 14 yıllık ömrünün 13 yılı boyunca aşılabilir durumdaydı. ESET güvenlik firması araştırmacıları, 2013 yılına ait en az bir tane olmak üzere 11 adet hatalı firmware imajı tespit etti. Bu imajlar, güvenlik açıkları bilinmesine rağmen Microsoft tarafından hâlâ imzalı tutuluyor. Bu durum, Secure Boot'un temel amacı olan bootkit saldırılarını engelleme işlevini tamamen etkisiz hale getiriyor.

Secure Boot, UEFI (Unified Extensible Firmware Interface) üzerinde çalışan ve yalnızca imzalı yazılımların önyükleme sürecine dahil olmasına izin veren bir güvenlik katmanıdır. Ancak ESET'in keşfine göre, shim adı verilen ve Linux cihazları ile yardımcı yazılımların Secure Boot altında çalışmasını sağlayan ara katman yazılımları, bu korumayı aşmak için kullanılabiliyor. Shim'ler, Microsoft tarafından imzalandıkları için güvenilir kabul ediliyor, ancak eski ve güvenlik açığı içeren shim'ler iptal edilmediği için hâlâ kullanılabilir durumda.

ESET araştırmacısı Martin Smolár, bu eski shim'lerin tehlikesinin yeni bir güvenlik açığından kaynaklanmadığını belirtiyor. Asıl sorun, eski ve hâlâ güvenilen ancak iptal edilmemiş shim binary'lerinin kopyalanabilmesi ve temel UEFI shim çalışma prensiplerinin bilinmesiyle Secure Boot'un atlanabilmesi. Bir saldırgan, karmaşık bir istismar tekniğine ihtiyaç duymadan, yalnızca eski bir shim kopyasıyla bootkit benzeri saldırılar gerçekleştirebiliyor.

Tehdit yalnızca Windows kullanıcılarını değil, Linux kullanıcılarını da kapsıyor. Shim'ler Linux dağıtımları için de kullanıldığından, saldırganlar her iki işletim sistemini çalıştıran cihazlara da sızabiliyor. Başarılı bir saldırı sonrasında, önyükleme sürecine erişen kötü amaçlı yazılım, işletim sistemi yeniden kurulsa veya sabit disk değiştirilse bile varlığını sürdürebiliyor. Bu tür bootkit'ler, LoJax, MosaicRegressor, CosmicStrand ve BlackLotus gibi örneklerle daha önce de görüldü.

Microsoft'un bu açığı gidermek için atması gereken adım, eski ve güvenlik açığı içeren shim'lerin imzalarını iptal etmek ve güncel shim sürümlerini kullanıma sunmak. Ancak 13 yıldır bu yapılmadığı için, mevcut Secure Boot uygulamaları büyük bir risk altında. Kullanıcıların, UEFI ayarlarından Secure Boot'u etkinleştirmesi ve mümkünse güncel firmware güncellemelerini takip etmesi önemli. Ayrıca, güvenlik yazılımlarının bootkit tespitine yönelik özelliklerini kullanmak da koruyucu olabilir.

Teknik Analiz

Bu keşif, Secure Boot'un ne kadar kırılgan bir yapıda olduğunu ve Microsoft'un güvenlik yönetimindeki zafiyetleri gözler önüne seriyor. Kullanıcıların, sistemlerini güncel tutmaları ve yalnızca güvenilir kaynaklardan yazılım indirmeleri öneriliyor. ESET, bu açığın kapatılması için Microsoft'a bildirimde bulundu. Ancak bu tür bir güvenlik açığının 13 yıl boyunca fark edilmemiş olması, endüstri çapında bir güvenlik kültürü eksikliğine işaret ediyor.

Kaynak: arstechnica.com

Paylaş: