Windows ve Linux Kullanıcıları İçin Kritik Güvenlik Süresi: UEFI Bootkit Tehdidine Karşı Sertifika Güncellemesi Siber Güvenlik

Windows ve Linux Kullanıcıları İçin Kritik Güvenlik Süresi: UEFI Bootkit Tehdidine Karşı Sertifika Güncellemesi

Microsoft Secure Boot sertifikaları 24 Haziran'da sona eriyor. Güncelleme yapılmazsa sistemler UEFI bootkit saldırılarına açık hale gelecek.

Windows ve Linux kullanıcıları için kritik bir süreç başladı. Sistemleri UEFI tabanlı bootkit enfeksiyonlarına karşı koruyan kriptografik anahtarların güncellenmesi için son tarih yaklaşıyor. Bu tür kötü amaçlı yazılımlar, işletim sistemi ve antivirüs korumaları başlamadan önce yüklendiği için oldukça tehlikeli. 24 Haziran'dan itibaren, sistem önyüklemesi sırasında yüklenen her bir firmware ve yazılımı kriptografik olarak doğrulayan üç sertifikanın süresi dolacak. Microsoft tarafından imzalanan bu sertifikalar, Secure Boot adı verilen ve Microsoft tarafından tasarlanan bir güven zincirinin temel taşlarıdır. Secure Boot, sistem başlatma sırasında yüklenen tüm firmware'lerin dijital imzalarını kontrol ederek, bunların güvenilir bir kaynaktan (örneğin anakart üreticisi) geldiğini garanti eder.

Secure Boot'un amacı, UEFI bootkitlerini engellemektir. UEFI (Unified Extensible Firmware Interface), BIOS'un halefi olan ve başlangıç önyükleme sırasını başlatan bir firmware paketidir. Bootkitler, işletim sisteminden ve diğer kodların çoğundan önce yüklendikleri için tespit edilmeleri zordur. Bir kez yüklendiklerinde, genellikle işletim sistemine kimlik bilgilerini çalan, sisteme arka kapı açan veya başka kötü amaçlı eylemler gerçekleştiren bir kötü amaçlı yazılım yüklerler. İşletim sistemi temizlense bile, bootkit sistemi yeniden enfekte edebilir. Ayrıca, işletim sistemi yeniden yüklemelerine karşı da dayanıklıdırlar.

Bootkitlerin tarihçesi, 1980'lerin başına, Apple II makinelerini hedef alan birkaç kötü amaçlı yazılımın oluşturulmasına kadar uzanır. Bu yazılımlar, korsan oyunlar içeren disketler aracılığıyla yayılmıştır. Windows bootkitleri ise 2000'li yılların başında, saldırı güvenliği araştırmacıları tarafından geliştirilen kavram kanıtlarıyla dikkat çekmeye başladı. 2005 Black Hat güvenlik konferansında gösterilen BootRoot, muhtemelen ilk örnektir. Bu kötü amaçlı yazılım, ağ protokolü sürücüleri ile ağ bağdaştırıcısı sürücüleri arasındaki iletişimi kolaylaştıran Network Driver Interface'i enfekte ediyordu. Sonraki yıllarda Vbootkit, Stoned Bootkit ve Mebroot gibi benzer kavram kanıtları ortaya çıktı.

2012 yılında yeni bir bootkit türü gösterildi. BIOS veya ana önyükleme kaydı yerine, bu bootkitler EFI'yi (önyükleme sürecini başlatan bir firmware paketi) enfekte ederek Mac OS X sistemlerine saldırdı. Aynı yıl, çok ilkel bir başka bootkit, Windows 8 makinelerini UEFI bootkit'in öncülü olan UEFI'yi enfekte ederek hedef aldı. 2013 civarında bir araştırmacı, Dreamboat adlı daha gelişmiş bir UEFI bootkit'i gösterdi. Gerçek dünyada UEFI'yi hedef alan ilk saldırı 2018'de LoJax adlı kötü amaçlı yazılımın keşfiyle geldi. LoJax, meşru bir hırsızlık önleme yazılımı olan LoJack'in yeniden kullanılmış bir versiyonuydu ve Kremlin destekli hacker grubu Sednit, Fancy Bear ve APT 28 tarafından oluşturulmuştu. Bu kötü amaçlı yazılım, UEFI firmware'inin flash belleğinin bazı kısımlarını okuyup üzerine yazabilen araçlar kullanılarak uzaktan yükleniyordu.

2020 yılında araştırmacılar, UEFI'ye saldıran ikinci gerçek dünya kötü amaçlı yazılımını keşfetti. Her bulaşık cihaz yeniden başlatıldığında, UEFI'si Windows başlangıç klasöründe kötü amaçlı bir dosyanın bulunup bulunmadığını kontrol ediyor ve yoksa yüklüyordu. Kaspersky araştırmacıları bu kötü amaçlı yazılıma 'MosaicRegressor' adını verdi. Araştırmacılar, tehlikeye atılmış UEFI'lerin nasıl enfekte olduğunu henüz belirleyemedi. O zamandan beri, ESpecter, FinSpy ve MoonBounce gibi isimlerle takip edilen bir avuç yeni UEFI bootkit'i gün ışığına çıktı.

UEFI bootkitlerinin artan tehdidine yanıt olarak Microsoft, cihaz üreticileriyle birlikte Secure Boot'u geliştirdi. Secure Boot, başlangıç sırasında yüklenen her bir firmware'in bir bilgisayar üreticisi tarafından güvenilir kabul edilmesini sağlamak için kriptografik imzalar kullanan endüstri çapında bir standarttır. Secure Boot, saldırganların amaçlanan başlangıç firmware'ini kötü amaçlı firmware ile değiştirmesini önleyen bir güven zinciri oluşturmak için tasarlanmıştır. Başlangıç zincirindeki tek bir halka tanınmazsa, Secure Boot cihazın başlatılmasını engelleyecektir. Ardından 2023 yılında araştırmacılar, dünyadaki hemen hemen her Windows ve Linux sistemini başlatan UEFI'lerde bulunan bir dizi kritik güvenlik açığı olan LogoFail'i keşfetti. Başlangıç sırasında donanım üreticilerinin logolarını gösteren yazılımdaki bir görüntü ayrıştırma hatası, saldırganların Secure Boot'u atlamasına ve UEFI'yi kötü amaçlı firmware ile enfekte etmesine olanak tanıyordu.

Sonuç olarak, 24 Haziran'da sona erecek olan Secure Boot sertifikaları, sisteminizi UEFI bootkitlerine karşı korumak için hayati önem taşıyor. Bu sertifikaların güncellenmemesi, sisteminizi LogoFail gibi kritik açıklara ve daha karmaşık bootkit saldırılarına karşı savunmasız bırakabilir. Kullanıcıların ve sistem yöneticilerinin, güncellemeyi zamanında yapmak için üretici talimatlarını takip etmeleri ve güvenlik yamalarını düzenli olarak uygulamaları önerilir. Unutmayın, bu tür bir tehdit, işletim sistemi yeniden yüklemesiyle bile ortadan kalkmaz; bu nedenle önleyici tedbirler almak kritik öneme sahiptir.

Detaylar ve Etkileri

Bu makale, teknik detayları ve tarihsel bağlamıyla UEFI bootkit tehdidini ve Secure Boot'un önemini vurgulamaktadır. Okuyucular, sistemlerini korumak için güncellemeleri takip etmeli ve güvenlik açıklarına karşı dikkatli olmalıdır. Günümüzün siber tehdit ortamında, firmware düzeyindeki saldırılar giderek yaygınlaşmakta ve daha karmaşık hale gelmektedir. Bu nedenle, hem bireysel kullanıcılar hem de kuruluşlar, güvenlik önlemlerini sürekli olarak güncel tutmalı ve proaktif bir yaklaşım benimsemelidir.

Kaynak: wired.com

Paylaş: