Microsoft imzalı bir uygulamayı etkileyen CVE-2024-7344 olarak izlenen yeni bir UEFI güvenli önyükleme bypass güvenlik açığı, güvenli önyükleme koruması etkin olsa bile bootkitleri dağıtmak için kullanılabilir.
Savunmasız UEFI uygulaması, birkaç üçüncü taraf yazılım geliştiricisinin birden fazla gerçek zamanlı sistem kurtarma araçında mevcuttur.
Bootkits, işletim sistemi yüklenmeden önce harekete geçtikleri ve işletim sisteminin yeniden yüklenmesinden kurtuldukları için tespit edilmesi zor olan kritik bir güvenlik tehdidini temsil eder.
Sorun, imzalanmamış olsalar bile, herhangi bir UEFI ikili yüklenmesine izin veren özel bir PE yükleyici kullanarak uygulamadan kaynaklanmaktadır.
Özellikle, savunmasız UEFI uygulaması, bir güven veritabanına (DB) ve bir iptal veritabanına (DBX) karşı ikili dosyaları doğrulayan 'LoadImage' ve 'StartImage' gibi güvenilir hizmetlere dayanmaz.
Bu bağlamda, 'reloader.efi', ilkel şifreli bir xor PE görüntüsü içeren 'cloak.dat'tan bellek ikili dosyalarına manuel olarak şifresini çözer ve yükler.
Bu güvenli olmayan işlem, uygulamanın EFI bölümündeki varsayılan işletim sistemi önyükleyicisini savunmasız bir 'reloader.efi' ile değiştirerek ve nominal yollarına kötü niyetli bir 'pelerin.dat' dosyası ekerek bir saldırgan tarafından kullanılabilir.
Sistem önyükleme üzerine, özel yükleyici, güvenli önyükleme doğrulaması olmadan kötü amaçlı ikili olarak şifresini çözecek ve yürütecektir.
Güvenlik açığı, sistem kurtarma, disk bakımı veya yedeklemelerine yardımcı olmak için tasarlanmış UEFI uygulamalarını etkiler ve genel amaçlı UEFI uygulamaları değildir.
ESET'in raporu, aşağıdaki ürün ve sürümleri savunmasız olarak listeler:
Yukarıdaki uygulamalar hedef bilgisayarda bulunmasa bile saldırganların CVE-2024-7344'ten yararlanabileceğine dikkat edilmelidir. Bilgisayar korsanları saldırıyı yalnızca savunmasız yeniden yükleyiciyi konuşlandırarak gerçekleştirebilir. Bu uygulamalardan Efi 'ikili.
Bununla birlikte, yukarıdaki uygulamaları ve etkilenen sürümleri kullananlar, saldırı yüzeyini ortadan kaldırmak için en kısa sürede yeni sürümlere geçmelidir.
ESET, güvenlik açığının güvenli önyükleme etkinleştirilmiş bir sistemde nasıl kullanılabileceğini göstermek için bir video yayınladı
Microsoft, CVE-2024-7344 için bir yama yayınladı
ESET, 8 Temmuz 2024'te güvenlik açığını keşfetti ve etkilenen taraflara koordineli ifşa için CERT Koordinasyon Merkezi'ne (CERT/CC) bildirdi.
Etkilenen satıcılar sorunu ürünlerinde düzeltti ve Microsoft, 14 Ocak Patch Salı güncellemesinde sertifikaları iptal etti
Sonraki aylarda ESET, önerilen yamaları değerlendirmek ve güvenlik sorununu ortadan kaldırmak için etkilenen satıcılarla birlikte çalıştı.
Sonunda, 14 Ocak 2025'te Microsoft, ikili dosyalarını yürütme girişimlerini engellemesi gereken savunmasız UEFI uygulamalarının sertifikalarını iptal etti.
Bu hafifletme, en son Windows güncellemesini yükleyen kullanıcılara otomatik olarak uygulanır. ESET ayrıca PowerShell komutlarını, eleştirel sistemlerin yöneticilerinin, iptallerin başarıyla uygulanıp uygulanmadığını manuel olarak kontrol etmek için kullanabileceği komutlarını paylaştı.
Microsoft Ocak 2025 Patch Salı 8 sıfır gün, 159 kusur düzeltiyor
Microsoft Aralık 2024 Patch Salı Düzeltmeleri 1 Sökülen Sıfır Gün, 71 Kusur
Microsoft, Windows 11 22H2, 23H3 Cihazları Yükseltmeye Başlıyor
Microsoft, Windows 11 Yönetici Koruma özelliğinin testini genişletir
Microsoft: MacOS Bug Hacker'ların kötü niyetli çekirdek sürücülerini yüklemesine izin verir
Kaynak: Bleeping Computer