Yeni Güvenlik Açığı: CVE-2025-3052
Güvenlik araştırmacıları, PC’ler ve sunucular üzerinde güvenlik kapatılmasına ve bootkit kötü amaçlı yazılımların yüklenmesine yol açabilecek yeni bir Secure Boot bypass açıklarını gün yüzüne çıkardılar. Bu açık, CVE-2025-3052 kodu ile izleniyor ve neredeyse tüm sistemlerde Microsoft’un "UEFI CA 2011" sertifikasına güvenilir. Secure Boot desteği olan tüm donanımların büyük bir kısmını etkiliyor.
Binarly araştırmacısı Alex Matrosov, CVE-2025-3052 açığını keşfettiğinde, Microsoft’un UEFI imza sertifikası ile imzalanmış bir BIOS güncelleme aracını buldu. İlk olarak dayanıklı tabletler için tasarlanmış olan bu araç, Microsoft’un UEFI sertifikası ile imzalandığı için herhangi bir Secure Boot destekleyen sistemde çalışabilmektedir.
Yapılan daha derinlemesine incelemeler, söz konusu zayıf modülün en az 2022 yılı sonlarından beri internette dolaştığını ve 2024 yılında VirusTotal platformuna yüklendiğini ortaya koydu. Binarly, bu zafiyeti 26 Şubat 2025’te CERT/CC’ye açıkladı ve CVE-2025-3052, Microsoft’un Haziran 2025 Patch Tuesday güncellemesi ile giderildi.
Ancak bu süreçte, Microsoft bu açığın yalnızca tek bir modül değil, 13 farklı modülü etkilediğini belirledi ve bu modüller ilgili iptal veritabanına eklendi. Binarly, "Triage süreci sırasında Microsoft, sorunun yalnızca başlangıçta düşünüldüğü gibi tek bir modül değil, aslında 14 farklı modülü etkilediğini tespit etti," diyerek durumu açıklamaktadır.
Secure Boot Bypass Açığının Nedenleri
CVE-2025-3052 açığının nedeni, Microsoft’un UEFI CA 2011 sertifikası ile imzalanmış bir BIOS güncelleme aracıdır. Bu araç, modern sistemlerin çoğunda kullanılan UEFI firmware’i sayesinde güvenilir bir şekilde çalışır.
Söz konusu araç, kullanıcı tarafından yazılabilir bir NVRAM değişkenini (IhisiParamBuffer) doğrulamadan okur. Eğer bir saldırgan, bir işletim sisteminde yönetici haklarına sahipse, bu değişkeni değiştirerek UEFI önyükleme süreci sırasında bellek konumlarına keyfi veri yazabilir. Bu işlem, işletim sistemi veya hatta çekirdek yüklenmeden önce gerçekleşir.
Bu zayıflığı kullanarak, Binarly bir proof-of-concept (PoC) geliştirdi ve ‘gSecurity2’ küresel değişkenini sıfırlandırmayı başardı. Bu değişken, Secure Boot‘u uygulamak için LoadImage fonksiyonu tarafından kullanılan Security2 Mimari Protokolü’ne bir işaretçi tutar.
Binarly raporunda, "Proof of concept (PoC) için küresel değişken gSecurity2’yi sıfırlamayı seçtik. Bunu sıfırlayarak Secure Boot‘u etkili bir şekilde devre dışı bırakıyoruz, bu da imzasız UEFI modüllerinin çalışmasına izin veriyor,” ifadesini kullanmaktadır.
Bootkit Kötü Amaçlı Yazılımları ve Güvenlik Önlemleri
Secure Boot devre dışı bırakıldıktan sonra, saldırganlar bootkit kötü amaçlı yazılımlarını yükleyebilir ve işletim sisteminden gizlenebilirler. Bu durum, daha fazla güvenlik özelliğinin kapatılmasına neden olabiliyor.
CVE-2025-3052’yi gidermek için, Microsoft etkilenen modül hash’lerini Secure Boot dbx iptal listesine ekledi. Binarly ve Microsoft, kullanıcıların bu güncellemeleri hemen yüklemelerini öneriyor. Bu şekilde cihazlarının güvenliğini sağlamak için gereken önlemleri alabilirler.
Ayrıca, bugün başka bir Secure Boot bypass açığı da gün yüzüne çıktı. Bu açık, Insyde H2O tabanlı UEFI uyumlu firmware’leri etkileyen Hydroph0bia olarak adlandırılıyor ve CVE-2025-4275 koduyla izleniyor. Bu zayıflığı, Nikolaj Schlej rapor etti ve 90 gün içinde yamanması gerçekleştirildi.
Binarly, PoC’lerinin Secure Boot‘u devre dışı bırakma yöntemlerini gösteren bir video da paylaştı.
Sonuç Olarak
Güvenlik açıklarını göz ardı etmek, hem bireysel kullanıcılar hem de kurumsal seviyede büyük riskler taşır. Güvenlik güncellemelerini zamanında ve eksiksiz bir şekilde yapmak, cihazların korunması açısından kritik önem taşır. CVE-2025-3052 gibi zayıflıkların ortaya çıkması, teknoloji dünyasında sürekli dikkatli olmanın gerekliliğini bir kez daha vurguluyor. Bu gibi açıkların farkında olmak ve gerekli önlemleri almak, hem bireysel bilgisayar kullanıcıları hem de IT departmanları için son derece önemlidir.
