Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) için bazı imzalı üçüncü taraf önyükleyiciler, saldırganların işletim sistemi yüklenmeden önce önyükleme işleminin erken bir aşamasında yetkisiz kod yürütmesine izin verebilir.
Windows tarafından kullanılan satıcıya özel önyükleyicilerin savunmasız olduğu tespit edilirken, neredeyse bir düzine diğerinin durumu şu anda bilinmiyor.
Tehdit aktörleri, işletim sistemi (OS) yeniden yüklenerek kaldırılamayan bir hedef sistemde kalıcılık oluşturmak için güvenlik sorunundan yararlanabilir.
Eclypsium güvenlik araştırmacıları Mickey Shkatov ve Jesse Michael, Windows makinelerinde Güvenli Önyükleme özelliğini atlamak için kullanılabilecek üçüncü taraf satıcıların UEFI önyükleyicilerini etkileyen güvenlik açıklarını keşfetti.
Güvenli Önyükleme, işletim sistemi önyükleme sürecini başlatmak için yalnızca satıcı tarafından sağlanan belirli bir sertifikayla imzalanmış güvenilir kodun yürütülmesini sağlamak için tasarlanmış UEFI belirtiminin bir parçasıdır.
Bellenim önyükleyici, donanımı başlatmak ve Windows Önyükleme Yöneticisini başlatmaktan sorumlu UEFI ortamını başlatmak için sistemi açtıktan hemen sonra çalışır.
Eclypsium araştırmacıları, Microsoft tarafından onaylanan üç UEFI önyükleyicisinin Güvenli Önyükleme özelliğini atlamaya ve imzasız kod yürütmeye izin veren güvenlik açıklarına sahip olduğunu buldu:
Windows Güvenli Önyükleme özelliğini atladığı ve imzasız kod yürüttüğü tespit edilen Microsoft onaylı üç UEFI önyüklemesi şunlardır:
- Yeni Horizon Datasys Inc: CVE-2022-34302 (Güvenli Önyüklemeyi özel yükleyici aracılığıyla atlayın)
- CryptoPro Güvenli Disk: CVE-2022-34301 (UEFI Shell yürütme yoluyla Güvenli Önyüklemeyi atlayın)
- Eurosoft (İngiltere) Ltd: CVE-2022-34303 (UEFI Shell yürütme yoluyla Güvenli Önyüklemeyi atlayın)
Microsoft, yukarıdaki listede yer alan son iki satıcıyla çalıştı ve güvenlik güncellemesi yayınladı KB5012170 Sorunu sağlanan önyükleyicide düzeltmek için.
Bu düzeltmenin bir parçası olarak Microsoft, Temmuz 2022’den itibaren Güvenlik Güncelleştirmesi Sürümü ile yayınlanan tüm gerekli sertifikalarını engelledi.
“Bu güvenlik güncelleştirmesi, bilinen güvenlik açığı bulunan UEFI modüllerinin imzalarını DBX’e ekleyerek güvenlik açığını giderir” – Microsoft
Carnegie Mellon CERT Koordinasyon Merkezi, bu hafta güvenlik açıklarıyla ilgili bir danışma belgesinde uyarır erken önyükleme aşamalarında yürütülen bu kod, “ortak işletim sistemi tabanlı ve EDR güvenlik savunmalarından da kaçabilir.”
Carnegie Mellon CERT CC, 23 UEFI önyükleyici satıcısının bir listesini sağladı; bunlardan yalnızca üçü için net bir durum mevcut: Microsoft (etkilendi), Phoenix Technologies (etkilenmedi) ve Red Hat (etkilenmedi).
20 satıcının geri kalanı da sorunlar hakkında bilgilendirildi, ancak ürünlerinin etkilenip etkilenmediği şu anda bilinmiyor.
Listede Acer, AMD, American Megatrends, ASUSTeK, DELL, Google, Hewlett Packard Enterprise, HP, Lenovo, Toshiba ve VAIO Corporation gibi isimler yer alıyor.
Bu güvenlik açıkları için bir düzeltme, Orijinal Ekipman Üreticisi (OEM) veya işletim sistemi satıcısı tarafından güncellenerek sunulmalıdır. UEFI İptal Listesi – Güvenli Önyükleme Yasaklı İmza Veritabanı (DBX), daha önce onaylanmış ürün yazılımı ve sistemleri UEFI Güvenli Önyükleme ile başlatan yazılımlar için iptal edilmiş imzalardan oluşan bir veritabanı.