hadicanim
Aktif Üye
Windows 11: Saldırganlar, BlackLotus Secure Boot UEFI önyükleme kitini atlatıyor
Eset güvenlik araştırmacıları, saldırganların sistemde derinlemesine yuvalanmak için Windows 11’in güncel sürümüne sahip bilgisayarlarda UEFI koruma mekanizması Güvenli Önyükleme’yi atladığı saldırıları gözlemledi. Ancak saldırılar kolayca mümkün değildir.
Güvenlik araştırmacıları tarafından hazırlanan bir rapora göre, saldırganlar bu amaçla BlackLotus UEFI önyükleme kitini kullanıyor. Kötü amaçlı yazılım ilk olarak Ağustos 2022’de araştırmacıların radarına girdi. Ekim 2022 itibarıyla, çevrimiçi karaborsa, kötü amaçlı yazılımın 5.000 ABD Doları karşılığında listelendiği ilk listeleri gördü.
saldırı
Araştırmacılar, tamamen yamalı Windows 11 sistemlerine yönelik saldırıların mümkün olduğunu belirtiyor. Bunu yapmak için, saldırganların güvenlik açığını CVE-2022-21894 (tehdit seviyesi “) tanımlayıcısıyla kapatması gerekir.ortaGüvenlik açığı Microsoft tarafından Ocak 2022’de bir güvenlik güncellemesi ile kapatılmış olsa da halen istismar edilebilmektedir.
Bunun nedeni, etkilenen geçerli olarak imzalanmış önyükleme yükleyicilerinin henüz UEFI iptal listesine dahil edilmemiş olmasıdır. Saldırganlar güvenlik açığından yararlanmak için meşru ancak savunmasız önyükleyicilerin kendi kopyalarını sisteme yerleştirir. Bununla birlikte, bir saldırının başarılı olabilmesi için saldırganların, kurbanları manipüle edilmiş bir yükleyiciyi çalıştırmaları için kandırması gerekir. Raporlarında, güvenlik araştırmacıları bir saldırının nasıl gerçekleştiğini ayrıntılarıyla anlatıyor.
Efektler
Başarılı bir saldırıdan sonra, saldırganlar Güvenli Önyüklemeyi atlatabilir ve böylece Windows başlamadan önce kötü amaçlı kod yerleştirebilir. Bu özellikle tehlikelidir, çünkü Windows virüs tarayıcıları gibi koruyucu önlemler bu noktada devreye girmez. Bu durumda saldırganlar, hazırlanmış bir çekirdek sürücüsü ile sisteme kalıcı olarak yerleşmelidir. Saldırı sırasında kötü amaçlı yazılım, BitLocker, Defender ve HVCI gibi Windows koruma önlemlerini devre dışı bırakır.
Saldırı ilerledikçe, ek kötü amaçlı yazılım yüklemek için kullandıkları komuta ve kontrol sunucularına bir bağlantı kurarlar. Saldırıların boyutu şu anda bilinmiyor. Eset, bildiklerine göre henüz pek çok siber suçlunun UEFI önyükleme kitini kullanmadığını belirtiyor. Etkilenen önyükleyiciler engellenene kadar saldırılar mümkündür.
Koruma ne zaman gelir?
Saldırıları önlemek için, etkilenen UEFI ikili dosyalarının UEFI İptal Veritabanına (dbx) dahil edilmesi gerekir. Bu tür yamalar, Windows güncelleme işlevi aracılığıyla dağıtılır. Sorun şu ki, bu tür ikili dosyalar genellikle yaygındır, bu nedenle engellenirlerse binlerce sistem, kurtarma görüntüsü veya yedekleme önyüklenemez hale gelir. Sonuç olarak, engelleme karmaşıktır ve genellikle uzun zaman alır. Bu durumda bunun ne zaman olacağı henüz belli değil.
Microsoft’un böyle bir yasağı, 2022 yazında, güvenlik açıkları nedeniyle grub önyükleyicisinin engellenmesi nedeniyle bazı Linux dağıtımlarının başlatılamaması bir kargaşaya neden oldu. c’t güvenlik aracı Desinfec’t de etkilendi.
Mevcut durumdaki bir başka karmaşıklık da, kalıcı BlackLotus önyükleme kitinin bir iptalden sonra da çalışır durumda kalmasıdır. Bunun nedeni, kalıcılık için özel bir MOK anahtarıyla meşru bir şim kullanmasıdır.
Donanım koruması sorunlu mu?
Teorik olarak, Güvenli Önyükleme çok mantıklı bir koruma mekanizmasıdır. Ancak Microsoft tarafından yürütülen dbx güncellemeleriyle etkinliği durup düştüğünde, bu düşünce için yiyecek sağlar.
Ayrıca, yakın zamanda başka bir donanım düzeyinde koruma mekanizmasında başka bir güvenlik olayı meydana geldi: Güvenilir Platform Modülü (TPM). Bu noktada güvenlik araştırmacıları, TPM komutlarının işlenmesinde güvenlik açıkları keşfettiler. En kötü durumda, saldırganlar başarılı saldırılardan sonra TPM ürün yazılımının üzerine yazabilir.
(ile ilgili)
Haberin Sonu