Birden fazla sistem kurtarma aracı aracılığıyla yayılan yeni bir UEFI güvenlik açığı keşfedildi. Bip sesi çıkaran bilgisayar güvenlik açığının saldırganların Güvenli Önyüklemeyi atlamasına ve işletim sistemi tarafından görülemeyen önyükleme kitlerini dağıtmasına olanak tanıdığını bildiriyor. Microsoft, güvenlik açığını CVE-2024-7344 Howyar Taiwan Secure Boot Bypass kod adıyla resmi olarak işaretledi.
Suçlunun, imzasız olanlar da dahil olmak üzere herhangi bir UEFI ikili dosyasının yüklenmesine izin veren bir müşteri PE yükleyicisinden geldiği iddia ediliyor. Bunun nedeni, LoadImage ve StartImage gibi güvenilir hizmetlere dayanmadığı iddia edilen güvenlik açığıdır.
Saldırganlar, bir uygulamanın EFI bölümündeki varsayılan işletim sistemi önyükleyicisini, basit bir şifrelenmiş XOR PE görüntüsü içeren güvenlik açığı bulunan bir sürümle değiştirerek bu işlevsellikten yararlanabilir. Kurulduktan sonra, virüslü sistem XOR PE görüntüsünden gelen kötü amaçlı verilerle önyüklenecektir.
Bu istismar, Güvenli Önyüklemeyi tamamen atladığı ve UEFI düzeyinde çalıştığı için, yazılım düzeyindeki antivirüsler ve güvenlik önlemleri, bu saldırıya karşı mücadelede işe yaramaz hale gelir. İşletim sisteminin yeniden yüklenmesi de olası bir karşı önlem olarak bu saldırıyı ortadan kaldıramaz.
Birden fazla sistem kurtarma aracının, birçok üçüncü taraf yazılım geliştiricisinin yeni güvenlik açığından yararlandığı iddia ediliyor. UEFI uygulamaları özellikle kurtarma, disk bakımı veya yedekleme işlemlerine yardımcı olmak için tasarlanmıştır. Etkilenen araçlardan bazıları Howyar SysReturn, Greenware GreenGuarde ve Radix SmartRecovery’dir.
ESET güvenlik araştırmacıları tarafından keşfedilen etkilenen yazılım ürünleri:
- Howyar SysReturn 10.2.023_20240919 sürümünden önce
- Greenware GreenGuard 10.2.023-20240927 sürümünden önce
- Radix SmartRecovery 11.2.023-20240927 sürümünden önce
- 10.3.024-20241127 sürümünden önceki Sanfong EZ-back Sistemi
- WASAY eRecoveryRX, 8.4.022-20241127 sürümünden önce
- CES NeoImpact 10.1.024-20241127 sürümünden önce
- SignalComputer HDD King, 10.3.021-20241127 sürümünden önce
İyi haber şu ki Microsoft ve ESET güvenliği, halkı bu güvenlik açığından korumak için zaten önlemler almış durumda. ESET’in güvenlik sorununu ortadan kaldırmak için etkilenen satıcılarla iletişime geçtiği iddia ediliyor. Microsoft, bu hafta Salı günü yama yayına giren en son Windows güncellemesinde, etkilenen değerli yazılımların sertifikalarını iptal etti.
Yukarıdaki yazılım uygulamalarından herhangi birini çalıştırdığınızı varsayalım. Bu durumda, en son Windows güncellemesine sahip olduğunuzdan emin olmanız ve yukarıda bahsedilen yazılımı bu UEFI güvenlik açığını giderecek sürümlere güncellemeniz, en son Windows güncellemesine sahip olduğunuzdan emin olmanıza değer.
