Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) sistemlerinde Güvenli Önyükleme mekanizmasının atlanmasına olanak verebilecek, artık yamalanmış bir güvenlik açığı hakkında ayrıntılar ortaya çıktı.
CVE tanımlayıcısı atanan güvenlik açığı CVE-2024-7344 (CVSS puanı: 6,7), Microsoft’un “Microsoft Corporation UEFI CA 2011” üçüncü taraf UEFI sertifikası tarafından imzalanmış bir UEFI uygulamasında bulunur. yeni rapor ESET’ten The Hacker News ile paylaştı.
Kusurun başarıyla kullanılması, sistem önyüklemesi sırasında güvenilmeyen kodun yürütülmesine yol açabilir ve böylece saldırganların, yüklü işletim sisteminden bağımsız olarak Güvenli Önyüklemenin açık olduğu makinelere kötü amaçlı UEFI önyükleme kitleri dağıtmasına olanak tanır.
Güvenli Önyükleme bir ürün yazılımı güvenlik standardı Bu, aygıtın yalnızca Orijinal Ekipman Üreticisi (OEM) tarafından güvenilen yazılımı kullanarak önyükleme yapmasını sağlayarak bilgisayar başlatıldığında kötü amaçlı yazılımların yüklenmesini önler. Özellik kaldıraçlar Yüklenen kodun orijinalliğini, kaynağını ve bütünlüğünü doğrulamak için dijital imzalar.
Etkilenen UEFI uygulaması, Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. ve Signal Computer GmbH tarafından geliştirilen çeşitli gerçek zamanlı sistem kurtarma yazılım paketlerinin bir parçasıdır. –
- Howyar SysReturn 10.2.023_20240919 sürümünden önce
- Greenware GreenGuard 10.2.023-20240927 sürümünden önce
- Radix SmartRecovery 11.2.023-20240927 sürümünden önce
- 10.3.024-20241127 sürümünden önceki Sanfong EZ-back Sistemi
- WASAY eRecoveryRX, 8.4.022-20241127 sürümünden önce
- CES NeoImpact 10.1.024-20241127 sürümünden önce
- SignalComputer HDD King, 10.3.021-20241127 sürümünden önce
“Güvenlik açığı, standart ve güvenli UEFI işlevlerini kullanmak yerine özel bir PE yükleyicinin kullanılmasından kaynaklanıyor LoadImage Ve BaşlangıçResmiESET araştırmacısı Martin Smolár şunları söyledi: “Sonuç olarak uygulama, UEFI Güvenli Önyükleme durumundan bağımsız olarak sistem başlatılırken cloak.dat adlı özel hazırlanmış bir dosyadan herhangi bir UEFI ikili dosyasının (imzasız bir dosya bile olsa) yüklenmesine olanak tanıyor. “
Bu nedenle, CVE-2024-7344’ü silah haline getiren bir saldırgan, UEFI Güvenli Önyükleme korumalarını atlatabilir ve işletim sistemi yüklenmeden önce bile UEFI bağlamındaki önyükleme işlemi sırasında imzasız kod çalıştırarak onlara ana makineye gizli, kalıcı erişim sağlayabilir.
CERT Koordinasyon Merkezi (CERT/CC) “Bu erken önyükleme aşamasında yürütülen kod, sistemde kalmaya devam edebilir ve potansiyel olarak hem yeniden başlatmalarda hem de işletim sisteminin yeniden kurulumunda hayatta kalabilecek kötü amaçlı çekirdek uzantıları yükleyebilir.” söz konusu. “Ek olarak, işletim sistemi tabanlı ve uç nokta algılama ve yanıt (EDR) güvenlik önlemleriyle tespit edilmekten kaçabilir.”
Kötü niyetli aktörler, güvenlik açığı bulunan “reloader.efi” ikili dosyasının kendi kopyasını Microsoft üçüncü taraf UEFI sertifikasının kayıtlı olduğu herhangi bir UEFI sistemine getirerek istismarın kapsamını daha da genişletebilir. Ancak, güvenlik açığı bulunan ve kötü amaçlı dosyaları EFI sistem bölümüne dağıtmak için yükseltilmiş ayrıcalıklar gerekir: Windows’ta yerel yönetici ve Linux’ta kök.
Slovak siber güvenlik firması, bulguları Haziran 2024’te CERT/CC’ye sorumlu bir şekilde açıkladığını ve ardından Howyar Technologies ve ortaklarının ilgili ürünlerdeki sorunu ele aldığını söyledi. 14 Ocak 2025’te Microsoft, Salı Yaması güncellemesinin bir parçası olarak eski, güvenlik açığı bulunan ikili dosyaları iptal etti.
UEFI iptallerinin uygulanması dışında, EFI sistem bölümünde bulunan dosyalara erişimin yönetilmesi, Güvenli Önyükleme özelleştirmesiVe uzaktan doğrulama Güvenilir Platform Modülüyle (TPM), bilinmeyen savunmasız imzalı UEFI önyükleyicilerinin kötüye kullanılmasına ve UEFI önyükleme kitlerinin dağıtımına karşı koruma sağlamanın diğer yollarından bazılarıdır.
Smolár, “Son yıllarda keşfedilen UEFI güvenlik açıklarının sayısı ve bunların yamalanmasındaki veya savunmasız ikili dosyaların makul bir süre içinde iptal edilmesindeki başarısızlıklar, UEFI Güvenli Önyükleme gibi önemli bir özelliğin bile aşılmaz bir engel olarak görülmemesi gerektiğini gösteriyor.” dedi.
“Ancak, güvenlik açığıyla ilgili olarak bizi en çok endişelendiren şey, benzer vakalarla karşılaştırıldığında oldukça iyi olan ikili dosyayı düzeltmek ve iptal etmek için gereken süre değil, bunun bu kadar bariz bir şekilde ortaya çıktığı ilk sefer olmadığı gerçeği. Güvenli olmayan imzalı UEFI ikili dosyasının keşfedilmesi, üçüncü taraf UEFI yazılım satıcıları arasında bu tür güvenli olmayan tekniklerin kullanımının ne kadar yaygın olduğu ve piyasada başka kaç tane benzer belirsiz ancak imzalı önyükleyici olabileceği konusunda soruları gündeme getiriyor.”
