Windows 11: Saldırganlar, BlackLotus Secure Boot UEFI önyükleme kitini atlıyor
Eset güvenlik araştırmacıları, saldırganların Windows 11’in güncel sürümünü çalıştıran bilgisayarlarda UEFI Güvenli Önyükleme koruma mekanizmasını atlayarak sistemin derinliklerine indiği saldırılar gözlemledi. Ancak saldırılar kolayca mümkün değildir.
Güvenlik araştırmacıları tarafından hazırlanan bir rapora göre, saldırganlar bu amaçla BlackLotus UEFI önyükleme kitini kullanıyor. Kötü amaçlı yazılım ilk olarak Ağustos 2022’de araştırmacıların radarına girdi. Ekim 2022 itibarıyla, çevrimiçi karaborsa, kötü amaçlı yazılımın 5.000 ABD Doları karşılığında listelendiği ilk listeleri gördü.
saldırı
Araştırmacılar, tamamen yamalı Windows 11 sistemlerine saldırıların mümkün olduğunu söylüyor. Bunu yapmak için saldırganların güvenlik açığını CVE-2022-21894 (tehdit seviyesi “) tanımlayıcısıyla kapatması gerekir.yarımGüvenlik açığı Microsoft tarafından Ocak 2022 güvenlik güncelleştirmesiyle kapatılmış olsa da yine de yararlanılabilir.
Bunun nedeni, etkilenen geçerli olarak imzalanmış önyükleme yükleyicilerinin henüz UEFI iptal listesine dahil edilmemiş olmasıdır. Saldırganlar, güvenlik açığından yararlanmak için meşru ancak savunmasız önyükleyicilerin kendi kopyalarını sisteme yerleştirir. Bununla birlikte, bir saldırının başarılı olabilmesi için saldırganların, kurbanları manipüle edilmiş bir yükleyiciyi çalıştırmaları için kandırması gerekir. Güvenlik araştırmacıları raporlarında bir saldırının nasıl gerçekleştiğini ayrıntılarıyla anlatıyor.
Efektler
Başarılı bir saldırıdan sonra, saldırganlar Güvenli Önyüklemeyi atlayabilir ve böylece Windows başlamadan önce kötü amaçlı kod yerleştirebilir. Bu özellikle tehlikelidir çünkü Windows virüs tarayıcıları gibi koruyucu önlemlerin bu noktada hiçbir etkisi yoktur. Bu durumda, saldırganların hazırlanmış bir çekirdek sürücüsü ile sisteme kalıcı olarak yerleşmeleri gerekecektir. Saldırı sırasında kötü amaçlı yazılım, BitLocker, Defender ve HVCI gibi Windows koruma önlemlerini devre dışı bırakır.
Saldırı ilerledikçe, ek kötü amaçlı yazılım yüklemek için kullandıkları kendi komuta ve kontrol sunucularına bir bağlantı kurarlar. Saldırıların boyutu şu anda bilinmiyor. Eset, bildikleri kadarıyla pek çok siber suçlunun hala UEFI önyükleme kitini kullanmadığını söylüyor. Etkilenen önyükleyiciler engellenmediği sürece saldırılar mümkündür.
Koruma ne zaman gelir?
Saldırıları önlemek için, etkilenen UEFI ikili dosyaları UEFI iptal veritabanına (dbx) dahil edilmelidir. Bu yamalar, Windows güncelleme işlevi aracılığıyla dağıtılır. Sorun şu ki, bu tür ikili dosyalar genellikle sızdırılır, bu nedenle bunlar çökerse binlerce sistem, kurtarma görüntüsü veya yedekleme önyüklenemez hale gelir. Sonuç olarak, engelleme karmaşıktır ve genellikle zaman alıcıdır. Bu durumda bunun ne zaman olacağı henüz belli değil.
Microsoft’un bu yasağı, 2022 yazında, güvenlik açıkları nedeniyle grub önyükleyicisinin engellenmesi nedeniyle bazı Linux dağıtımlarının önyükleme yapamamasıyla karışıklığa neden oldu. c’t Desinfec’t güvenlik aracı da etkilendi.
Mevcut durumdaki ek bir zorluk, kalıcı BlackLotus Başlangıç Kitinin bir iptalden sonra da çalışır durumda kalmasıdır. Bunun nedeni, kalıcılık için özel bir MOK anahtarıyla meşru bir şim kullanmasıdır.
Donanım koruması sorunu mu yaşıyorsunuz?
Teorik olarak, Güvenli Önyükleme çok makul bir koruma mekanizmasıdır. Ancak Microsoft tarafından oynanan dbx güncellemeleriyle etkinliği yükselip düştüğünde, bu düşündürücüdür.
Ayrıca, yakın zamanda başka bir donanım düzeyinde koruma mekanizmasında başka bir güvenlik olayı meydana geldi: Güvenilir Platform Modülü (TPM). Bu noktada güvenlik araştırmacıları, TPM komut işlemede güvenlik açıkları keşfetti. En kötü durumda, saldırganlar başarılı saldırılardan sonra TPM ürün yazılımının üzerine yazabilir.
(İtibaren)
Haberin Sonu