Bilgisayarınızı başlattığınızda yüklenen işletim sistemi ve yazılımların güvenli ve yetkili olduğundan emin olmayı sağlayan sektör standardı mekanizma Secure Boot (Güvenli Önyükleme) sisteminde iki önemli güvenlik açığı keşfedildi. Araştırmacılar tarafından bulunan bu açıklar, Secure Boot'un sunduğu korumaları tamamen atlatabiliyor. Microsoft, bu açıkların birini kapatmak için adım atarken, diğerinin aktif bir tehdit olarak kalmasına izin veriyor.
Microsoft, aylık güvenlik güncellemesi kapsamında CVE-2025-3052 olarak adlandırılan bir Secure Boot bypass (atlatma) açığını yamaladı. 50'den fazla cihaz üreticisini etkileyen bu güvenlik açığı, cihazların Linux üzerinde çalışmasına olanak tanıyan bazı modüllerde bulunuyordu. Fiziksel erişime sahip bir saldırganın, Secure Boot'u kapatmasına ve işletim sistemi yüklenmeden önce çalışan zararlı yazılımları yüklemesine olanak tanıyordu. Bu tür saldırılar, Secure Boot'un tam olarak önlemeyi amaçladığı 'evil maid' (kötü hizmetçi) senaryolarına işaret ediyor. Açık, ayrıca makineye yönetici erişimi olan bir saldırgan tarafından uzaktan da istismar edilerek enfeksiyonları daha gizli hale getirebiliyor.
Tek Bir Zayıf Nokta Zinciri Kırıyor
CVE-2025-3052 açığının temelinde, dayanıklı mobil cihazlar üreten bir firmanın cihazlarının anakartlarına firmware (donanım yazılımı) görüntülerini yüklemek için kullanılan bir araçtaki kritik bir güvenlik zafiyeti yatıyor. Bu araç, geçtiğimiz yıldan beri halka açık platformlarda görülebiliyordu ve 2022'de dijital olarak imzalanmıştı.
Araç aslında yalnızca belirli cihazlarda çalışmak üzere tasarlanmış olsa da, hem Windows hem de Linux çalıştıran çoğu makine, önyükleme işlemi sırasında bu aracı yürütebiliyordu. Bunun nedeni, aracın Microsoft tarafından imzalanmış ve etkilenen makinelerde önceden yüklenmiş olarak gelen 'Microsoft Corporation UEFI CA 2011' adlı bir kriptografik sertifika ile doğrulanmış olmasıydı. Bu sertifika, Linux'un yüklenmesi için kullanılan küçük yazılımları (shim) doğrulamak amacıyla cihaz üreticileri tarafından yüklenir. Microsoft'un yayınladığı yama, bu aracın 14 farklı varyantının kriptografik özetlerini (hashlerini), DBX adı verilen, iptal edilmiş veya güvenilmeyen imzalı modülleri listeleyen bir veritabanına ekleyerek çalışmasını engelliyor.
Güvenlik firması araştırmacıları, bu keşfin tek bir satıcının hatasının tüm UEFI tedarik zincirini nasıl etkileyebileceğini gösterdiğini belirtti. UEFI, BIOS'un yerini alan anakart üzerindeki donanım yazılımıdır.
CVE-2025-3052 açığına farklı kurumlar tarafından 10 üzerinden 8.2 ve 3.1 gibi farklı ciddiyet dereceleri verildi. Açık, Microsoft'un yanı sıra Red Hat gibi Linux dağıtımcıları tarafından da yamalandı.
On yıldan uzun süre önce bir konsorsiyum tarafından tanıtılan Secure Boot, önyükleme işlemi sırasında önceden onaylanmış bir dijital imza ile imzalanmamış hiçbir kodun yüklenmesini engellemek için açık anahtar şifrelemesi kullanır. Cihazı başlatan donanım ile yazılım veya donanım yazılımı arasında bir güven zinciri oluşturur. Bu zincirdeki her bağlantı, cihaz üreticisi tarafından yetkilendirilmiş bir sertifika ile dijital olarak imzalanmalıdır. Microsoft, bunun varsayılan olarak açık olmasını şart koşmaktadır.
Ama Hepsi Bu Değil: Yamalanmayan Tehdit
Halka açık olarak erişilebilen ikinci Secure Boot açığı ise CVE-2025-47827 olarak belirlendi. Bu açık, bir Linux çekirdeği modülünden kaynaklanıyor. GRUB önyükleyicisini ve savunmasız çekirdeği yükleyen ilk 'shim' yazılımı da Microsoft tarafından imzalanmış durumda.
Cihaza kısa süreliğine bile fiziksel erişim sağlayan saldırganlar, cihazı bu modül üzerinden başlatıp önyükleyicisi üzerinde değişiklik yaparak zararlı yazılım yükleyebiliyorlar. Araştırmacılar bu açığı Microsoft'a bildirdiklerini, ancak şirketin imzayı iptal etme gibi bir planı olduğuna dair bir bilgi almadıklarını belirtti. Microsoft, konuyla ilgili sorulara yanıt vermedi.
Firmware güvenliği konusunda uzmanlaşmış güvenlik firmaları, bu modülün Secure Boot korumalarını atlamak için neredeyse evrensel bir yol sunduğunu ifade etti.
Araştırmacılardan biri, Microsoft'un 3. Parti UEFI CA sertifikasının neredeyse tüm PC benzeri cihazlar tarafından güvenildiği için, bu anahtar ile doğrulanmış herhangi bir bileşendeki yamalanmamış bir güvenlik açığının, güvenilmeyen bir işletim sistemi yüklemek için Secure Boot'u kırmaya olanak tanıdığını belirtti. Microsoft'un 3. Parti UEFI CA'sına güvenen herhangi bir sistemin, bu anahtar tarafından imzalanmış olan ilgili modülün kendi sürümünü yükleyeceğini ve çalıştıracağını söyledi. Ardından bu modülün kendi içinde gömülü anahtarını kullanarak, zararlı yazılım içeren veya zincirleme olarak başka bir işletim sistemi (Windows veya farklı bir Linux sürümü gibi) yükleyecek şekilde değiştirilebilen dosyaları doğrulayabileceğini ekledi.
Microsoft ve diğerleri tarafından yayınlanan yamaları yüklemek dışında, kullanıcıların Secure Boot korumasını güçlendirmek için yapabileceği çok fazla şey bulunmuyor. Elbette, cihazların fiziksel güvenliğini sağlamak için ek önlemler alınabilir, ancak Secure Boot'un tüm amacı, 'evil maid' senaryolarından kaynaklanan tehditleri en aza indirmektir. Yamalanmayan ikinci açık, bu korumanın etkinliği konusunda ciddi soru işaretleri yaratmaktadır.
