Windows ve Linux kullanıcıları için kritik bir süreç işliyor. 24 Haziran itibarıyla, sistemlerinizi UEFI tabanlı firmware enfeksiyonlarına karşı koruyan üç adet Microsoft imzalı sertifikanın süresi dolacak. Bu sertifikalar, Secure Boot adı verilen ve sistem açılışında yüklenen her bir firmware ve yazılım parçasını kriptografik olarak doğrulayan güven zincirinin temelini oluşturuyor. Secure Boot, kötü niyetli yazılımların işletim sistemi ve antivirüs programları devreye girmeden önce sisteme sızmasını engellemek için tasarlanmıştır. Sertifikaların süresinin dolması, bu korumanın zayıflamasına ve cihazların UEFI bootkit adı verilen sinsi bir kötü amaçlı yazılım türüne karşı savunmasız kalmasına neden olabilir.
UEFI bootkit'leri, BIOS'un halefi olan Birleşik Genişletilebilir Ürün Yazılımı Arayüzü'nü (UEFI) hedef alan bir kötü amaçlı yazılım türüdür. Bu bootkit'ler, işletim sistemi ve diğer kodların çoğundan önce yüklendikleri için tespit edilmeleri oldukça zordur. Bir kez yüklendiklerinde, genellikle kimlik bilgilerini çalan, sisteme arka kapı açan veya başka kötü niyetli eylemler gerçekleştiren kötü amaçlı yazılımları işletim sistemine yüklerler. İşletim sistemi temizlense bile bootkit sistemi yeniden enfekte edebilir ve işletim sistemi yeniden yüklemelerine karşı dirençlidir.
Bootkit'lerin tarihi 1980'lerin başına, Apple II makinelerini hedef alan boot sürecindeki kötü amaçlı yazılımlara kadar uzanıyor. Windows bootkit'leri ise 2000'lerin başında araştırmacılar tarafından geliştirilen kavram kanıtlarıyla dikkat çekmeye başladı. 2005 Black Hat güvenlik konferansında tanıtılan BootRoot, bu türün ilk örneklerinden biriydi. Ardından Vbootkit, Stoned Bootkit ve Mebroot gibi birçok benzeri ortaya çıktı. 2012'de ise EFI'yi hedef alan ve Mac OS X sistemlerine saldıran yeni bir bootkit türü gösterildi. 2013'te Dreamboat adı verilen daha gelişmiş bir UEFI bootkit tanıtıldı.
Detaylar ve Etkileri
UEFI'yi hedef alan ilk gerçek dünya saldırısı 2018'de LoJax adlı kötü amaçlı yazılımın keşfiyle geldi. Kremlin destekli Sednit, Fancy Bear veya APT 28 olarak bilinen hacker grubu tarafından oluşturulan LoJax, meşru bir hırsızlık önleme yazılımının yeniden tasarlanmış bir versiyonuydu. 2020'de ise Kaspersky araştırmacıları, UEFI'ye saldıran ikinci bir gerçek dünya kötü amaçlı yazılımı olan MosaicRegressor'ı keşfetti. O tarihten bu yana ESpecter, FinSpy ve MoonBounce gibi bir dizi yeni UEFI bootkit gün ışığına çıktı.
UEFI bootkit'lerinin artan tehdidine karşı Microsoft, cihaz üreticileriyle birlikte Secure Boot'u geliştirdi. Secure Boot, açılış sırasında yüklenen her bir firmware parçasının bilgisayar üreticisi tarafından güvenilir olduğunu kriptografik imzalarla kontrol eden endüstri çapında bir standarttır. Bu güven zinciri, saldırganların amaçlanan açılış firmware'ini kötü niyetli firmware ile değiştirmesini engellemek için tasarlanmıştır. Zincirdeki herhangi bir halkanın tanınmaması durumunda Secure Boot, cihazın başlatılmasını engeller. Ancak 2023'te keşfedilen LogoFail adlı bir dizi kritik güvenlik açığı, Secure Boot'u atlayarak UEFI'ye kötü niyetli firmware bulaştırılmasına olanak tanıdı.
Sistem Güvenliği
24 Haziran'da sona erecek sertifikalar, Secure Boot'un işlevselliğini doğrudan etkiliyor. Kullanıcıların bu tarihten önce işletim sistemi güncellemelerini yaparak yeni sertifikaların yüklenmesini sağlamaları gerekiyor. Windows kullanıcıları için bu, Windows Update üzerinden sunulan güvenlik güncellemelerini yüklemek anlamına geliyor. Linux kullanıcıları ise dağıtım sağlayıcılarının sağladığı güncellemeleri takip etmeli. Ayrıca, anakart üreticilerinin firmware güncellemelerini de kontrol etmek önemli. Unutmayın, bu sadece bir yazılım güncellemesi değil, sisteminizin güvenliği için hayati bir adım.
Kaynak: wired.com