Yedi sistem kurtarma yazılımında keşfedilen kritik bir güvenlik açığı, saldırganların kötü amaçlı dosyaları UEFI başlatma sürecine dahil etmesine olanak tanıyor. Söz konusu güvenlik açığı, Microsoft tarafından imzalanan bir dosya olan “reloader.efi” üzerinden işliyor ve güvenilir olmayan dosyaların başlatma sürecine eklenmesini sağlıyor.
UEFI güvenlik kontrollerini atlatan bir arka kapı
ESET tarafından açıklanan raporda, bu açık sayesinde UEFI Secure Boot kontrolleri atlanabiliyor. Açık, CVE-2024-7344 koduyla listelenmiş ve 6.5 CVSS puanı ile orta düzey bir tehdit olarak değerlendirilmiş. Saldırının gerçekleşmesi için yönetici ayrıcalıkları gerekiyor, ancak bu durum tehdidin ciddiyetini azaltmıyor.
UEFI başlatma sürecinde kullanılan standart yöntemler, başlatma dosyalarını doğrulamak ve güvenli bir şekilde yüklemek üzerine kurulu. Ancak “reloader.efi”, Microsoft tarafından onaylanmış olmasına rağmen, özel bir mekanizma kullanarak güvenli olmayan dosyaların yüklenmesine olanak tanıyor.
Bu mekanizma, dosyaları “cloak.dat” isimli şifreli bir dosyadan yükleyerek çalışıyor. ESET’in analizine göre cloak.dat dosyasında imzasız bir yürütülebilir dosya bulunuyor. Bu yazılımın temel amacı, sınıf ortamlarında gerçek zamanlı sistem kurtarma sağlamak. Ancak bir saldırgan, bu meşru yazılımı kendi kötü amaçlı dosyasıyla değiştirebilir ve sistem başlatma sürecine dahil edebilir.
UEFI, bir cihazın işletim sistemi yüklemeden önceki başlatma sürecini yöneten kritik bir alandır. Bu alan, cihazların yeniden başlatılsa bile kötü amaçlı yazılımları çalıştırmasına olanak tanıyan bir kalıcılık mekanizması sağlar. Güvenlik yazılımlarının bu seviyedeki kötü amaçlı yazılımları tespit etmesi daha zor olabilir.
UEFI açıkları, güvenlik kontrollerini devre dışı bırakmak için kullanıldığında, sistemin güvenliğini sağlamak için kritik olan mekanizmaları etkisiz hale getirebilir. Örneğin, UEFI Secure Boot veya Windows’un HVCI (Hypervisor-Protected Code Integrity) gibi koruma teknolojileri, bu tür açıklarla hedef alınabilir.
Microsoft, UEFI imzaları için belirli güvenlik gereksinimleri tanımlamış durumda. Ancak bu süreç, Smolár’a göre yeterince şeffaf değil. “Microsoft’un yalnızca otomatik analiz mi yaptığı yoksa manuel bir inceleme süreci de mi uyguladığı tam olarak bilinmiyor” diyor.
Microsoft’tan yapılan bir açıklamada, UEFI ikili dosyalarının onay sürecinin “manuel inceleme ve otomatik güvenlik analizini” içerdiği belirtildi. Şirket, bu süreçleri iyileştirmeye yönelik taahhüdünü vurgularken, geniş ekosistemlerinde güvenliği artırmaya yönelik çalışmalarının devam ettiğini açıkladı.
Kullanıcıların ve organizasyonların bu tür açıkların etkisinden korunması için şu adımları atmaları öneriliyor:
1.Yazılım güncellemeleri: Sistem kurtarma yazılımlarını düzenli olarak güncelleyerek bilinen açıkların giderilmesini sağlamak.
2.Yönetici izinlerini sınırlama: Yalnızca gerekli durumlarda yönetici ayrıcalıkları kullanılarak kötü niyetli yazılımların sisteme erişimi engellenebilir.
3.UEFI güvenlik ayarlarını gözden geçirme: UEFI Secure Boot ayarlarının doğru yapılandırıldığından emin olunmalı.
4.Siber farkındalık eğitimi: Özellikle “makroları etkinleştir” gibi kullanıcıdan eylem isteyen uygulamalara karşı dikkatli olunması sağlanmalıdır.
UEFI açıkları, sistem güvenliği için ciddi bir tehdit oluşturuyor ve bu tehditlerin önlenmesi için kullanıcıların ve yazılım geliştiricilerin güvenlik önlemlerini sıkılaştırması gerekiyor.
