Windows kullanıcıları ve yöneticileri her ay Salı (veya Çarşamba, bulunduğunuz yere bağlı olarak). Ve her ay, çoğu kullanıcı aynı güncellemeleri uygular.
Ama yapmalı mıyız?
Konuşma konusu olan mesele: KB5012170, 9 Ağustos’ta yayınlanan ve hiçbir soruna neden olmayan ya da Bitlocker’ın anahtar isteklerini kurtarmasını tetikleyen ya da hiç yüklenmeyen ve bir üretici yazılımı güncellemesi bulmanızı gerektiren bir yama. Güvenli Önyükleme DBX için Güvenlik güncelleştirmesi adı verilen bu düzeltme eki, neredeyse tüm desteklenen Windows sürümleri için geçerlidir. Özellikle, Windows Server 2012’yi etkiler; Windows 8.1 ve Windows Server 2012 R2; Windows 10, sürüm 1507; Windows 10, sürüm 1607 ve Windows Server 2016; Windows 10, sürüm 1809 ve Windows Server 2019; Windows 10, 20H2, 21H1 ve 21H2 sürümleri; Windows Sunucusu 2022; Windows 11, sürüm 21H2 (orijinal yayın) ve Azure Stack HCI, sürüm 1809, tamamen Azure Stack Data Box, sürüm 1809 (ASDB).
Vay canına.
Ama şu var ki: tüm makineler aynı risk faktörlerini paylaşmaz. Bu özel güncelleme, “güvenli önyüklemede bir güvenlik özelliği atlama güvenlik açığının bulunduğu bir güvenlik riskiyle ilgilenir. Güvenlik açığından başarıyla yararlanan bir saldırgan, güvenli önyüklemeyi atlayabilir ve güvenilmeyen yazılımları yükleyebilir. Bu güvenlik güncellemesi, bilinen güvenlik açığı bulunan UEFI modüllerinin imzalarını DBX’e ekleyerek bu güvenlik açığını giderir.”
Microsoft kılavuzunda belirtildiği gibi: “Bu güvenlik açığından yararlanmak için bir saldırganın, Güvenli Önyüklemenin Microsoft Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) Sertifika Yetkilisine (CA) güvenecek şekilde yapılandırıldığı bir sistemde yönetici ayrıcalıklarına veya fiziksel erişime sahip olması gerekir. Saldırgan, etkilenen bir GRUB yükleyebilir ve hedef aygıtta rastgele önyükleme kodu çalıştırabilir. Saldırgan, bu güvenlik açığından başarıyla yararlandıktan sonra, diğer kod bütünlüğü denetimlerini devre dışı bırakarak, hedef aygıta rastgele yürütülebilir dosyaların ve sürücülerin yüklenmesine izin verebilir.”
Güncellemeleri yoksaymayı veya engellemeyi önermiyorum meğer ki yan etki riski yamanın kendisinden daha fazladır. Bu özel durumda, saldırganın gerçekleşmesi için iki şeyden birine sahip olması gerekir.
- Makineye fiziksel erişimleri olmalıdır. Tipik ev veya tüketici kullanıcısı için bu risk düşüktür. Saldırganların önce evinize girmesi ve ardından işletim sisteminizin önyükleyicisini atlamaya çalışması gerekir. Gerçekte, televizyonunuzu çalma, nakit arama veya diğer değerli eşyalarınızı alma olasılıkları daha yüksektir. Saldırganın bilgisayarınızı veya sabit sürücünüzü çalması çok daha kolay olacaktır.
- Bilgisayarınızda yönetici haklarına sahip olmaları gerekir. Ortalama bir kullanıcı için, bir saldırganın sistemde zaten yönetici hakları varsa, orada bankacılık sitelerinin kullanıcı adlarını ve kimlik bilgilerini ve diğer hassas bilgileri izliyorlar.
Çoğu ev kullanıcısı için bu makinelere yönelik riskin bu yamanın kurulumunu garanti ettiğine henüz ikna olmadım. Çoğu zaman, saldırı riskinin kendisi kadar etkili olan yan etkiler gördük. Belirtildiği gibi tutulma blogu: “Nisan 2019’da GRUB2’nin Kaspersky Rescue Disk tarafından nasıl kullanıldığına ilişkin bir güvenlik açığı kamuya açıklanmıştı. Şubat 2020’de, sabit bir sürümün yayınlanmasından altı aydan fazla bir süre sonra Microsoft, güvenlik açığı olduğu bilinen Kaspersky önyükleyicisini engellemek için UEFI iptal listesini (dbx) güncelleyerek güvenlik açığı bulunan önyükleyiciyi tüm Windows sistemlerinde iptal etmek için bir güncelleme yayınladı. Ne yazık ki bu, birden çok satıcının sistemlerinin, tuğlalı cihazlar da dahil olmak üzere beklenmedik hatalarla karşılaşmasına neden oldu ve güncelleme, güncelleme sunucularından kaldırıldı.”
Bu nedenle, KB5012170 belirli makinelere sunulduğunda, sanal olanlar da dahil olmak üzere tüm makinelere sunuldu (Eski BIOS ayarlarını kullananlar bile). Büyük çoğunluk güncellemeyi gayet iyi yüklese de, DBXEnabled olmayan HP Elite serisi, FUJITSU FJNBB38 ve Mac Boot Camp dahil olmak üzere bazı makineler açıkça engellendi. KB5012170 alır
Güvenlik açığı olan üç önyükleyici, CryptoPro Secure Disk’i içerir, bir diğeri Eurosoft UK adlı bir test aracı ve disk sileceğidir, sonuncusu Reboot Restore Rx Pro, bir sınıfta yeniden başlatmanın ardından bir PC’deki değişiklikleri geri almak için kullanılır, kiosk PC’ler, otel konuk bilgisayarları vb. Bu savunmasız yükleyicileri kullanmasanız bile, bu “BIOS güncellemesini” alacaksınız.
Ancak yan etkiler felaket olabilir. Sadece yazan Mike Terrill’e sorun. Mike’ın Teknoloji Blogu, son zamanlarda yama uygulamasının kötü tarafının onun için nasıl oynadığını açıkladı. Büyük olasılıkla, Bitlocker’ı C: sürücüsüne kuran ve ardından kurtarma anahtarını kişinin bildiği bir yedekleme konumuna kaydetmelerini istemeyen belirli Dells veya HP modelleri gibi bir bilgisayarı vardı. (Normalde, Bitlocker bir Azure etkin dizin hesabı veya bir Microsoft hesabıyla ayarlandığında, Bitlocker kurtarma anahtarı kaydedilir ve giriş yapmak ve onu bul. Fakat belirli makineler sürücü şifrelemesini açın ve anahtarı yedeklemeyin; KB5012170’i yükledikten sonra sisteminizi yeniden başlatırsınız ve sizden sahip olmadığınız bir kurtarma parolası ister.)
Bazı kullanıcılar, aşağıdaki adımların işletim sistemine başarılı bir şekilde önyükleme yapmalarına izin verdiğini bildirmiştir:
- Bilgisayarı yeniden başlatın.
- Ekranda cihazınızın logosunu gördüğünüzde F2’ye dokunmaya devam edin.
- BIOS ekranına girin.
- Genel altında, Önyükleme Sırası’nı seçin.
- Ardından UEFI’yi seçin ve Güvenlik altında TPM 2.0 Güvenliği’ni seçin.
- Etkinleştir’i seçin ve Uygula’ya tıklayın.
- “Güvenli Önyükleme” altında, Güvenli Önyüklemeyi Etkinleştir’i seçin.
- Uygula’ya tıklayın. Ardından sistemi yeniden başlatın.
Tüm bunlar, neden her güncellemeye aynı düzeyde risk atamamanız gerektiğini vurgulamak için tasarlanmıştır. Bu örnekte, güncellemeyi yüklemek ve bilmediğiniz bir önyükleyici kurtarma parolası isteğini tetiklemek, sorunun giderici olmasından daha fazla değilse de daha fazla hasara neden olur.
Microsoft, yan etkileri tetikleyen ve kullanıcıları uyaran güncellemeler için daha fazla destek sağlamalı ve sağlamalıdır. Endişeleri Bilinen Sorunlar bölümünde belgelemek yeterli değildir – kullanıcıların yamaların sistemlerine zarar vermeyeceğinden emin olmaları gerekir. Bağımsız makinelerdeki kullanıcılardan, anahtara sahip olduklarından emin olmak için bu tür güncellemelerden önce bir Bitlocker kurtarma anahtarı girmeleri istenmelidir. Bunu yapamazlarsa, güncelleme onlara Bitlocker’ı devre dışı bırakma veya Bitlocker kurtarma anahtarını sıfırlama işlemi boyunca sormalıdır.
Yamalar zarar vermemelidir. Bu, güvenli bir önyükleme yamasının ek acı ve hasarı tetiklediği ilk sefer değil, ancak sonuncusu olmalı.
Telif Hakkı © 2022 IDG Communications, Inc.