CVE-2024-7344 GÜVENLİK AÇIĞI TANIMI
CVE-2024-7344 olarak bilinen bu güvenlik açığı, Microsoft’un “Microsoft Corporation UEFI CA 2011” isimli üçüncü taraf UEFI sertifikası ile imzalanmış bir UEFI uygulamasında tespit edildi. Bu güvenlik açığının kötüye kullanılması, sistemin önyüklemesi sırasında güvenilmeyen kodların çalıştırılmasına neden olabiliyor. Bu durum, potansiyel saldırganların UEFI Güvenli Önyükleme’nin aktif olduğu sistemlerde bile, işletim sisteminden bağımsız bir şekilde kötü amaçlı UEFI önyükleme kitlerini (Bootkitty ya da BlackLotus gibi) kolayca dağıtmasını sağlıyor. ESET, bu bulguları Haziran 2024’te CERT Koordinasyon Merkezi’ne (CERT/CC) rapor etti ve burada etkilenen satıcılarla başarılı bir iletişim kuruldu. Sorun, etkilenen ürünlerde düzeltildi. Microsoft, eski ve savunmasız ikili dosyaları 14 Ocak 2025 Salı günü yayımlanan bir yamanın güncellemesi ile iptal etti.
ETKİLENEN UEFI UYGULAMALARI
Söz konusu güvenlik açığı, Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. ve Signal Computer GmbH tarafından geliştirilen çeşitli gerçek zamanlı sistem kurtarma yazılımı paketlerinin bir parçası olan UEFI uygulamalarını kapsıyor. Güvenlik açığını keşfeden ESET araştırmacısı Martin Smolár, “Son yıllarda keşfedilen UEFI güvenlik açıklarının sayısı ve bunların yamanması veya güvenlik açığı bulunan ikili dosyaların makul bir süre içinde iptal edilmesindeki başarısızlıklar, UEFI Secure Boot gibi temel bir özelliğin bile aşılmaz bir bariyer olarak görülmemesi gerektiğini gösteriyor.” dedi. Smolár, en büyük endişelerinin güvenli olmayan imzalı bir UEFI ikilisinin daha önce keşfedilmemiş olmasının yanı sıra, üçüncü taraf UEFI yazılım geliştiricileri arasında bu tür güvensiz tekniklerin yaygınlığına dikkat çekti.
SALDIRILARIN KAPSAMI
Saldırganlar, Microsoft’un üçüncü taraf UEFI sertifikasının kayıtlı olduğu herhangi bir UEFI sistemine savunmasız ikilinin kendi kopyasını yükleyebilir. Bu nedenle, güvenlik açığından yararlanma, yalnızca etkilenen kurtarma yazılımının kurulu olduğu sistemlerle sınırlı değil. Ek olarak, savunmasız ve kötü niyetli dosyaları EFI sistem bölümüne dağıtmak için yükseltilmiş ayrıcalıklar gerektiği belirtildi (Windows’ta yerel yönetici; Linux’ta root). Güvenlik açığı, standart ve güvenli UEFI işlevleri LoadImage ve StartImage yerine özelleştirilmiş bir PE yükleyicisinin kullanımından kaynaklanıyor. Microsoft’un üçüncü taraf UEFI imzalamasının etkin olduğu tüm UEFI sistemleri etkilenmekle birlikte, Windows 11 Secured-core PC’lerde bu seçeneğin varsayılan olarak devre dışı bırakılması gerektiği ifade ediliyor. Güvenlik açığı, Microsoft’un en güncel UEFI iptallerinin uygulanmasıyla azaltılabiliyor. Windows sistemlerinin otomatik olarak güncellenmesi öneriliyor.