Güvenilir sistem kurtarma programlarındaki bir güvenlik açığı, ayrıcalıklı saldırganların Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) cihazlarındaki sistem başlatma sürecine doğrudan kötü amaçlı yazılım eklemesine olanak tanıyabilir.
Yedi gerçek zamanlı kurtarma ürünü (Howyar SysReturn, Greenware GreenGuard, Radix SmartRecovery, Sanfong EZ-back System, WASAY eRecoveryRX, CES NeoImpact ve SignalComputer HDD King) tümü Microsoft imzalı Genişletilebilir Ürün Yazılımı Arayüzü “reloader.efi”yi kullanır (EFI) dosyası söz konusu.
ESET’in yeni bir raporda açıkladığı sorun, reloader.efi’nin özel bir yükleyici kullanmasıdır. uygulamanın imzasız ikili dosyaları bile yüklemesine olanak tanır önyükleme işlemi sırasında. Aslında bu, herhangi bir türdeki dosyayı sistemin başlangıcına gizlice sokmak için kullanılan bir arka kapıdır. UEFI Güvenli Önyüklemeyi geçmiş. Soruna CVE-2024-7344 atandı ve bu sorundan yararlanılması için yönetici ayrıcalıkları gerektirdiğinden “orta” 6,5 Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) derecesi aldı.
UEFI Önyükleme Sürecinin Arka Kapısı
UEFI görüntülerini sistem belleğine yüklemenin, hazırlamanın ve yürütmenin standart yolu, otolojik LoadImage ve StartImage işlevlerini kullanmaktır. Microsoft onaylı “yeniden yükleyici” uygulaması, başlangıçta güvenilir veya başka türlü herhangi bir ikili dosyayı yüklemesine olanak tanıyan özel bir mekanizma kullanarak kendi yolunda gider.
ESET’teki kötü amaçlı yazılım araştırmacısı Martin Smolár, geliştiricilerin özel yükleyiciyi uygulamadaki amaçlarını “Belki de güvenli kodlama farkındalığı eksikliğinden kaynaklanmaktadır” diye tahmin ediyor. “Ya da belki de böyle bir işlevsellik yaratmayı uygun buldukları içindir. Çünkü bir geliştirici bir değişiklik yaptığında [to a signed program] yeniden imzalanması için bunu Microsoft’a göndermeleri gerekiyor. Bu, her yeni güncelleme veya buna benzer bir şey oluşturduklarında buna ihtiyaç duymadıkları anlamına geliyor.”
Reloader.efi, rastgele ikili dosyaları belirli, şifrelenmiş bir dosya olan “cloak.dat”tan yükler. ESET cloak.dat dosyasının şifresini çözdüğünde, bu dosyanın öncelikle sınıf ortamları için tasarlanmış imzasız bir yürütülebilir dosya içerdiğini buldu. Smolár, “Temel işlevi, gerçek zamanlı sistem kurtarma sağlamak ve farklı sınıflardaki öğrencilerin, paylaşılan bilgisayar laboratuvarlarında öğretmen tarafından önceden tanımlanmış bir bilgisayar ortamında çalışabilmelerini sağlamaktır” diyor, ancak aynı bileşenin başka ortamlarda da kullanılabileceğini ekliyor halka açık internet kafeler gibi. Daha büyük nokta, imzasız yürütülebilir dosyanın başlatma işlemi sırasında UEFI Güvenli Önyükleme kontrollerini tamamen atlayarak çalıştırılmasıdır.
Bu tuhaf sınıf kurtarma yazılımı son derece dürüsttür, ancak bir saldırgan bunu kolaylıkla daha kötü bir şeyle değiştirebilir. Saldırgan, hedeflenen makinede yönetici ayrıcalıklarına sahip olabilirse EFI sistem bölümüne (ESP) erişebilir ve cloak.dat yerine kendi kötü amaçlı dosyasını koyabilir. Daha sonra ihtiyaç duydukları tek şey, istedikleri herhangi bir kötü amaçlı dosyayı başlangıç sürecine bırakmak için sistemi hızlı bir şekilde yeniden başlatmaktır.
UEFI Hataları Neden Bu Kadar Kötü?
UEFI bir tür kutsal alandır; donanım yazılımı ile işletim sistemi arasında bir köprü olup, bir makinenin ilk etapta başlatılmasını sağlar.
Bu alanı istila eden herhangi bir kötü amaçlı yazılım, başlatma sürecinde kendi yerini ayırarak, yeniden başlatmalar yoluyla inatçı bir kalıcılık kazanacaktır. Güvenlik programlarının, sistemin bu kadar düşük bir seviyesinde kötü amaçlı yazılımları tespit etmesi daha zordur. Daha da önemlisi, UEFI kötü amaçlı yazılımı ilk önce yüklendiğinde kaçınmayı hedeflediği güvenlik kontrollerine göre bir adım önde olacaktır. Kötü amaçlı yazılım yazarları, bu işlem sırasından yararlanarak UEFI önyükleme kitleri Bu, güvenlik protokollerine bağlanabiliyor ve Windows’un çekirdekteki imzasız kodu engelleme teknolojisi olan UEFI Güvenli Önyükleme veya HVCI (Hiper Yönetici Korumalı Kod Bütünlüğü) gibi kritik güvenlik mekanizmalarını zayıflatabiliyor.
Bunların hiçbirinin gerçekleşmemesini sağlamak için, UEFI Önyükleme Yöneticisi her önyükleme uygulaması ikili dosyasını iki listeye göre doğrular: tüm imzalı ve güvenilir programları içeren “db” ve tüm yasaklanmış programları içeren “dbx”. Ancak güvenlik açığı bulunan bir ikili dosya Microsoft tarafından imzalandığında konu tartışmalı hale gelir.
Microsoft bir UEFI ikili dosyalarını imzalamak için gereksinimler listesiSmolár, ancak sürecin biraz belirsiz olduğunu söylüyor. “Bunun yalnızca bu gereksinimler listesinin üzerinden geçmeyi mi içerdiğini yoksa kötü amaçlı değil, güvensiz davranışları aradıkları manuel ikili incelemeler gibi başka etkinliklerin de dahil olup olmadığını bilmiyorum” diyor. Microsoft daha önce UEFI ikili dosyalarının “manuel inceleme yoluyla onaylandığını” belirtmişti. Dark Reading bu noktada daha fazla netlik sağlamak için şirkete ulaştı.
ESET, CVE-2024-7344’ü ilk olarak Temmuz 2024’te keşfetti. O zamandan bu yana, güvenlik açığı bulunan tüm uygulamalar düzeltildi ve Microsoft, güvenlik açığı bulunan eski ikili dosyaları kendi sistemindeki iptal etti. 14 Ocak 2025, Salı Yaması güncellemesi.
