Giriş
Siber güvenlik araştırmacıları, Microsoft tarafından imzalanmış ve uzun süre önce çıkarılmış olan 11 adet Unified Extensible Firmware Interface (UEFI) uygulaması tespit ettiler. Bu uygulamalar, modern firmware standartlarını kullanan sistemlerde Secure Boot korumasını aşmak için kullanılabilir, bu da ciddi güvenlik açıklarına yol açabilir.
Saldırı Nasıl Çalışıyor?
Saldırı aşağıdaki şekilde gerçekleşir: UEFI firmware, shim’i yükleyerek Microsoft CA tarafından imzalanmış olduğundan emin olur. Ardından, shim ikinci aşama bootloader’ı (genellikle GRUB 2) kendi sertifikasıyla doğrular. GRUB 2, kernel’i de benzer şekilde doğruladıktan sonra, sistem açılır. Ancak, bu işlem sırasında, kötü niyetli bir aktör zayıf shim uygulamalarını kullanarak zararlı kodu çalıştırabilir. ESET araştırmacıları, bu durumun kullanılarak UEFI bootkit’leri gibi zararlı yazılımların sisteme girmesine olanak tanıdığını belirtmektedir.
Etkilenen Sistemler
Microsoft, eski ancak güvende kalmış shim uygulamalarını etkileyen birkaç sürüm tespit etti. Bu bootloader’ların listesi aşağıdaki gibidir:
- Spyrus WTGCreator (UEFI shim loader 0.7 veya daha düşük)
- RedHat RedHat Enterprise Linux (7.2, UEFI shim loader 0.9)
- RedHat CentOS (7.2, UEFI shim loader 0.9)
- Baramundi Management Suite (2024R1’e kadar, UEFI shim loader 0.8)
- WhiteCanyon/Blancco WipeDrive (8.0.0 – 8.1.3, UEFI shim loader 0.7)
- Finlandiya’nın Matrikülasyon Sınavı Kurulu Abitti 1 (1.0, UEFI shim loader 0.8)
- NTC IT ROSA, LLC ROSA Linux (R10, R9, UEFI shim loader 0.9)
- Oracle America, Inc. OracleLinux (7.2, UEFI shim loader 0.9)
- PC-Doctor, Inc. PC Doctor Service Center (15, 16, UEFI shim loader 0.9)
- OpenSUSE OpenSUSE UEFI Shim loader (0.9)
- OpenSUSE OpenSUSE Shim (2.1, UEFI Shim loader 0.9)
Çözüm ve Korunma
Bu güvenlik açığı, kötü niyetli aktörlerin, güncellemeleri yüklenmemiş bir shim kullanarak MOK denylist uygulamasını atlatmalarına olanak tanır. UEFI Secure Boot’u atlatmak için sadece eski bir shim kopyası ve UEFI shim’lerin çalışmasıyla ilgili temel bir anlayış yeterlidir. Microsoft, bu açıktan kaynaklanan riskleri gidermek için SHIM projeleri için belirli güncellemeler yapmaktadır. ESET, aşağıdaki CVE kodlarıyla bu açıkları takip etmektedir:
- CVE-2026-8863
- CVE-2026-10797 (uzun süre önce düzeltildi)
Güvenliğinizi sağlamak için:
- Sistem yazılımınızı güncelleyin.
- Eski UEFI Shim sürümlerini kaldırın.
- Mümkünse, portları kapatın veya güvenlik duvarı ayarlarını kontrol edin.
- Etkilenen yazılımları kurulumdan kaldırın ve alternatif çözümler arayın.
Güvenliğiniz için bu adımları takip etmek hayati öneme sahiptir. Unutmayın, saldırılar sisli bir başlangıç aşamasına ulaşmadan önlem almak her zaman en iyi yoldur.


