Windows ve Linux kullanıcıları için kritik bir tarih yaklaşıyor: 24 Haziran. Bu tarihte, sistemlerinizi UEFI tabanlı firmware enfeksiyonlarına karşı koruyan üç önemli kriptografik sertifikanın süresi doluyor. Bu sertifikalar, Secure Boot adı verilen ve Microsoft tarafından tasarlanan bir güven zincirinin temelini oluşturuyor. Secure Boot, sistem başlatma sırasında yüklenen her firmware ve yazılımın dijital imzalarını kontrol ederek, bunların güvenilir bir kaynaktan (örneğin anakart üreticisi) geldiğini doğruluyor. Sertifikaların süresinin dolması, bu korumanın zayıflamasına ve kötü niyetli yazılımların sisteme sızmasına olanak tanıyabilir.
UEFI bootkit'ler, işletim sistemi ve antivirüs yazılımları başlamadan önce yüklenen sinsi bir kötü amaçlı yazılım türüdür. BIOS'un halefi olan UEFI'yi hedef alan bu bootkit'ler, sisteme yerleştikten sonra kimlik bilgilerini çalma, arka kapı açma veya diğer kötü amaçlı eylemleri gerçekleştirme yeteneğine sahiptir. En tehlikeli yanı, işletim sistemi temizlense bile yeniden enfeksiyon yapabilmeleri ve işletim sistemi yeniden yüklense bile varlıklarını sürdürebilmeleridir. Bu nedenle Secure Boot gibi önlemler hayati önem taşır.
Bootkit'lerin tarihi 1980'lere kadar uzanır. İlk örnekler Apple II makinelerini hedef alan ve korsan oyun diskleri aracılığıyla yayılan kötü amaçlı yazılımlardı. Windows için bootkit'ler ise 2000'li yılların başında araştırmacılar tarafından geliştirilen kavram kanıtlarıyla (PoC) gündeme geldi. 2005 Black Hat güvenlik konferansında tanıtılan BootRoot, ilk örneklerden biriydi. Ardından Vbootkit, Stoned Bootkit ve Mebroot gibi birçok bootkit ortaya çıktı. 2012'de ise UEFI'yi hedef alan ilk bootkit'ler görülmeye başlandı; Mac OS X ve Windows 8 için geliştirilen örnekler dikkat çekti. 2013'te Dreamboat adlı daha gelişmiş bir UEFI bootkit tanıtıldı.
Sonuç ve Değerlendirme
Gerçek dünyadaki ilk UEFI saldırısı 2018'de LoJax adlı kötü amaçlı yazılımla keşfedildi. Kremlin bağlantılı Fancy Bear grubu tarafından geliştirilen LoJax, aslında meşru bir hırsızlık önleme yazılımı olan LoJack'in yeniden kullanılmış bir sürümüydü. UEFI firmware'inin flash belleğine yazma yeteneğine sahip araçlarla uzaktan yükleniyordu. 2020'de Kaspersky araştırmacıları, MosaicRegressor adlı ikinci bir gerçek dünya UEFI bootkit'i keşfetti. Bu kötü amaçlı yazılım, her yeniden başlatmada Windows başlangıç klasöründe bir dosya olup olmadığını kontrol ediyor ve yoksa yüklüyordu. O tarihten bu yana ESpecter, FinSpy ve MoonBounce gibi bir dizi yeni UEFI bootkit ortaya çıktı.
Nasıl Önlem Alınmalı?
Microsoft, artan UEFI bootkit tehdidine karşı Secure Boot standardını geliştirdi. Bu standart, her başlangıç firmware'inin bilgisayar üreticisi tarafından güvenilir olarak kabul edilmesini sağlamak için kriptografik imzalar kullanır. Amaç, saldırganların meşru başlangıç firmware'ini kötü amaçlı bir sürümle değiştirmesini engellemektir. Başlangıç zincirindeki herhangi bir halka tanınmazsa, Secure Boot cihazın başlatılmasını engeller. Ancak 2023'te keşfedilen LogoFail güvenlik açıkları, Secure Boot'u baypas etmeyi mümkün kıldı. Bu açıklar, başlangıçta donanım üreticilerinin logolarını gösteren yazılımdaki bir görüntü ayrıştırma hatasından kaynaklanıyordu ve neredeyse tüm Windows ve Linux sistemlerini etkiliyordu.
24 Haziran son tarihi, kullanıcıların ve sistem yöneticilerinin Secure Boot sertifikalarını güncellemesi için bir uyarı niteliği taşıyor. Sertifikaların süresinin dolması, sistemleri UEFI bootkit saldırılarına karşı savunmasız bırakabilir. Microsoft, bu sertifikaların yenilenmesi için gerekli güncellemeleri yayınlamış olsa da, kullanıcıların bu güncellemeleri manuel olarak uygulaması gerekebilir. Özellikle eski sistemlerde veya güncelleme yönetimi zayıf ortamlarda bu kritik bir adımdır. Kullanıcıların, işletim sistemi ve donanım üreticilerinin resmi kanallarından güncellemeleri kontrol etmeleri ve uygulamaları önerilir.
Kaynak: wired.com