Windows ve Linux Güvenliğinde Kritik Bir Son Tarih Yaklaşıyor Windows

Windows ve Linux Güvenliğinde Kritik Bir Son Tarih Yaklaşıyor

Windows ve Linux kullanıcılarının, sistemlerini, işletim sistemi ve kötü amaçlı yazılıma karşı korumalar başlamadan önce yüklenen zararlı bir kötü ama...

Windows ve Linux kullanıcılarının, sistemlerini, işletim sistemi ve kötü amaçlı yazılıma karşı korumalar başlamadan önce yüklenen zararlı bir kötü amaçlı yazılım türü olan ürün yazılımı tabanlı UEFI enfeksiyonlarına karşı koruyan şifreleme anahtarlarını güncellemesi için zaman işliyor.

24 Haziran'dan itibaren, sistem önyüklemesi sırasında yüklenen her ürün yazılımı ve yazılımın süresinin dolacağını kriptografik olarak doğrulayan üç sertifika. Microsoft imzalı sertifikalar, Microsoft tarafından tasarlanmış bir güven zinciri olan Secure Boot'un temel taşlarıdır. Güvenli Önyükleme, sistemin üzerinde çalıştığı anakartın üreticisi gibi güvenilir bir sağlayıcıdan geldiğinden emin olmak için sistem başlatma sırasında yüklenen tüm ürün yazılımının dijital imzalarını kontrol eder.

Güvenli Önyükleme, her ikisi de ilk önyükleme sırasını başlatan, BIOS'un halefi olan Birleşik Genişletilebilir Ürün Yazılımı Arayüzünü değiştiren bir kötü amaçlı yazılım türü olan UEFI önyükleme kitlerini engellemek için tasarlanmıştır. Bu önyükleme kitleri işletim sisteminden ve diğer kodların çoğundan önce yüklendiğinden, bunların algılanması zor olabilir. Kurulduktan sonra genellikle işletim sistemine kimlik bilgilerini çalan, sisteme arka kapı açan veya başka kötü amaçlı eylemler gerçekleştiren kötü amaçlı yazılım yüklerler. İşletim sistemi dezenfekte edilse bile, önyükleme seti sisteme yeniden virüs bulaştırabilir. Bootkit'ler işletim sistemi yeniden kurulumlarından da kurtulur.

Bootkit'lerin Kısa Tarihi

Önyükleme kitlerinin ortaya çıkışı, önyükleme işlemi sırasında Apple II makinelerini hedef alan birkaç kötü amaçlı yazılım parçasının oluşturulmasıyla 1980'lerin başlarına kadar uzanıyor. Görünüşte korsan oyunlar içeren disketler aracılığıyla vahşi doğada yayıldılar.

Windows önyükleme kitleri, saldırgan güvenlik araştırmacıları tarafından geliştirilen konseptin kanıtları olarak 2000'li yılların başında dikkat çekti. 2005 Black Hat güvenlik konferansında tanıtılan bir önyükleme kiti olan BootRoot muhtemelen bu türden ilk örnektir. Kötü amaçlı yazılım, TCP/IP ağ bağdaştırıcısı sürücüleri gibi hizmetleri etkinleştiren ağ protokolü sürücüleri arasındaki iletişimi kolaylaştıran Ağ Sürücüsü Arayüzüne bulaştı. Sonraki yıllarda benzer PoC'ler Vbootkit, Stoned Bootkit ve Mebroot'u içeriyordu. Çok daha fazlası vardı.

2012 yılında yeni bir bootkit biçimi tanıtıldı. Böyle bir önyükleme kiti, makineleri BIOS veya ana önyükleme kaydı aracılığıyla hedeflemek yerine, önyükleme işlemini başlatan bir ürün yazılımı paketi olan EFI'yi enfekte ederek Mac OS X sistemlerine saldırdı. İkinci çok ilkel bir önyükleme kiti, UEFI'nin öncülü olan UEFI önyükleme kitine bulaşarak Windows 8 makinelerini hedef aldı. 2013 civarında bir araştırmacı Windows için Dreamboat adında daha gelişmiş bir UEFI önyükleme kitini tanıttı.

UEFI'yi hedef alan gerçek dünyadan bilinen ilk saldırı vakası, 2018 yılında LoJax adlı kötü amaçlı yazılımın keşfedilmesiyle gerçekleşti. LoJack olarak bilinen meşru hırsızlık önleme yazılımının yeniden tasarlanmış bir versiyonu olan bu yazılım, Sednit, Fancy Bear ve APT 28 gibi isimler altında takip edilen Kremlin destekli bilgisayar korsanlığı grubu tarafından oluşturuldu. Kötü amaçlı yazılım, UEFI donanım yazılımının flash belleğinin bazı kısımlarını okuyabilen ve üzerine yazabilen kötü amaçlı yazılım araçları kullanılarak uzaktan yüklendi.

2020'de araştırmacılar, UEFI'ye saldıran gerçek dünyadaki kötü amaçlı yazılımın bilinen ikinci örneğini ortaya çıkardı. Virüs bulaşmış bir cihaz her yeniden başlatıldığında, UEFI, Windows başlangıç ​​klasöründe kötü amaçlı bir dosyanın bulunup bulunmadığını kontrol etti ve eğer değilse onu yükledi. Kötü amaçlı yazılımı keşfeden güvenlik sağlayıcısı Kaspersky'den araştırmacılar, buna "MosaicRegressor" adını verdi. Araştırmacılar, ele geçirilen UEFI'lerin nasıl etkilendiğini henüz belirlemediler. O zamandan bu yana bir avuç yeni UEFI önyükleme kiti gün ışığına çıktı. ESPecter, FinSpy ve MoonBounce gibi isimler altında takip ediliyorlar.

İhtiyaç Buluşun Anasıdır

Microsoft, UEFI önyükleme kitlerinin daha tehdit edici tehdidine yanıt olarak, başlatma sırasında yüklenen her ürün yazılımı parçasına bilgisayar üreticisi tarafından güvenilmesini sağlamak üzere kriptografik imzalar kullanan sektör çapında bir standart olan Güvenli Önyükleme'yi geliştirmek için aygıt üreticileriyle birlikte çalıştı. Güvenli Önyükleme, saldırganların amaçlanan önyükleme ürün yazılımını kötü amaçlı ürün yazılımıyla değiştirmesini önleyen bir güven zinciri oluşturmak üzere tasarlanmıştır. Başlangıçta tek bir bağlantı varsa c

hain tanınmazsa Güvenli Önyükleme cihazın başlatılmasını engelleyecektir.

Daha sonra 2023'te araştırmacılar, UEFI'lerin dünyadaki hemen hemen her Windows ve Linux sistemini başlattığını tespit eden bir dizi kritik güvenlik açığı olan LogoFail'i keşfetti. Önyükleme sırasında donanım üreticilerinin logolarını sunan yazılımdaki görüntü ayrıştırma hatası, saldırganların Güvenli Önyüklemeyi atlamasına ve UEFI'ye kötü amaçlı ürün yazılımı bulaştırmasına olanak tanıdı.

Paylaş: