Windows ve Linux kullanıcıları için sistemlerini işletim sistemi ve antivirüs korumalarının başlamasından önce devreye giren, zararlı bir yazılım türü olan bellenim tabanlı UEFI enfeksiyonlarına karşı koruyan kriptografik anahtarları güncellemek için süre daralıyor.
24 Haziran'dan itibaren, sistem önyüklemesi sırasında yüklenen her bir aygıt yazılımı ve yazılım parçasının kriptografik olarak doğrulamasını sağlayan üç sertifika sona erecek. Microsoft imzalı bu sertifikalar, Microsoft tarafından tasarlanan bir güven zinciri olan Güvenli Önyükleme'nin (Secure Boot) temelini oluşturuyor. Güvenli Önyükleme, sistem başlatma sırasında yüklenen tüm kodların dijital imzalarını kontrol ederek, bunların sistemin üzerinde çalıştığı anakartın üreticisi gibi güvenilir bir sağlayıcıdan geldiğinden emin oluyor.
Güvenli Önyükleme, ilk önyükleme dizisi sırasında aygıt yazılımı ve yazılım yüklemesinden sorumlu sistemleri değiştiren bir kötü amaçlı yazılım türü olan önyükleme yazılımlarını (bootkits) engellemek için tasarlanmıştır. Önyükleme yazılımları işletim sistemi ve diğer kodların çoğundan önce yüklendiği için tespit edilmeleri zor olabilir. Bir kez yüklendiklerinde, genellikle işletim sistemine kimlik bilgilerini çalan, sisteme arka kapı açan veya başka kötü niyetli eylemler gerçekleştiren kötü amaçlı yazılımlar yüklerler. İşletim sistemi temizlense bile, önyükleme yazılımı sistemi yeniden enfekte edebilir. Önyükleme yazılımları işletim sistemi yeniden yüklemelerinden bile kurtulabilir.
Önyükleme Yazılımlarına Kısa Bir Bakış
Önyükleme yazılımlarının kökeni, 1980'lerin başlarına ve önyükleme sürecinde Apple II makinelerini hedef alan çeşitli kötü amaçlı yazılımların ortaya çıkışına dayanıyor. Bu yazılımlar, sözde korsan oyunlar içeren disketler aracılığıyla yayılıyordu.
Windows önyükleme yazılımları, 2000'lerin başlarında saldırgan güvenlik araştırmacıları tarafından geliştirilen konsept kanıtları olarak dikkat çekti. 2005 Black Hat güvenlik konferansında gösterilen bir önyükleme yazılımı olan BootRoot, muhtemelen bu türden ilk örnektir. Bu kötü amaçlı yazılım, ağ protokol sürücüleri arasındaki iletişimi kolaylaştıran ve TCP/IP ağ bağdaştırıcısı sürücüleri gibi hizmetleri sağlayan Ağ Sürücü Arayüzü'nü (Network Driver Interface) enfekte ediyordu. Sonraki yıllarda, Vbootkit, Stoned Bootkit ve Mebroot gibi benzer konsept kanıtları ortaya çıktı.
2012'de yeni bir önyükleme yazılımı türü tanıtıldı. BIOS veya ana önyükleme kaydından (master boot record) makineleri hedeflemek yerine, bu önyükleme yazılımlarından biri, önyükleme sürecini başlatan bir aygıt yazılımı paketi olan EFI'yi enfekte ederek Mac OS X sistemlerine saldırdı. Çok ilkel ikinci bir önyükleme yazılımı, UEFI'nin öncülü olan Windows 8 makinelerini enfekte ederek Windows 8 makinelerini hedefliyordu. Yaklaşık 2013 yılında bir araştırmacı, Dreamboat adında daha gelişmiş bir Windows için UEFI önyükleme yazılımı gösterdi.
UEFI'yi hedefleyen gerçek dünya saldırısının bilinen ilk vakası, LoJax olarak adlandırılan kötü amaçlı yazılımın keşfedildiği 2018 yılında gerçekleşti. LoJack olarak bilinen yasal hırsızlık önleme yazılımının yeniden amaçlandırılmış bir versiyonu olan bu yazılım, Sednit, Fancy Bear ve APT 28 gibi isimlerle takip edilen Kremlin destekli bir bilgisayar korsanlığı grubu tarafından oluşturulmuştu. Kötü amaçlı yazılım, UEFI aygıt yazılımının flash belleğinin bölümlerini okuyabilen ve üzerine yazabilen kötü amaçlı yazılım araçları kullanılarak uzaktan kuruluyordu.
2020'de araştırmacılar, UEFI'ye saldıran gerçek dünya kötü amaçlı yazılımının ikinci bilinen örneğini ortaya çıkardılar. Enfekte bir cihaz her yeniden başlatıldığında, UEFI'si Windows başlangıç klasöründe kötü amaçlı bir dosya olup olmadığını kontrol ediyor ve yoksa yüklüyordu. Bu kötü amaçlı yazılımı keşfeden güvenlik sağlayıcısı Kaspersky'den araştırmacılar buna "MosaicRegressor" adını verdiler. Araştırmacılar, enfekte olan UEFI'lerin nasıl enfekte olduğunu henüz belirleyememişlerdir. O zamandan beri, ESpecter, FinSpy ve MoonBounce gibi isimlerle takip edilen bir avuç yeni UEFI önyükleme yazılımı gün ışığına çıktı.
İcatların Annesi İhtiyaçtır
Tehditlere yanıt olarak Microsoft, her bir önyükleme sırasında yüklenen yazılım parçasının bir bilgisayar üreticisi tarafından güvenilir olduğundan emin olmak için kriptografik imzaları kullanan, sektör çapında bir standart olan Güvenli Önyükleme'yi geliştirmek için cihaz üreticileriyle birlikte çalıştı. Güvenli Önyükleme, saldırganların amaçlanan önyükleme aygıt yazılımını kötü amaçlı aygıt yazılımıyla değiştirmesini önleyen bir güven zinciri oluşturmak için tasarlanmıştır. Başlangıç zincirindeki tek bir bağlantı tanınmazsa, Güvenli Önyükleme cihazın başlamasını engelleyecektir.
Ardından 2023'te araştırmacılar, dünyadaki hemen hemen tüm Windows ve Linux sistemlerini önyükleyen UEFI'lerde bulunan bir dizi kritik zafiyet olan LogoFail'i keşfettiler. Donanım üreticilerinin önyükleme sırasında logolarını sunan yazılımdaki bir görüntü ayrıştırma hatası, saldırganların Güvenli Önyükleme'yi atlatmasına ve UEFI'yi kötü amaçlı aygıt yazılımıyla enfekte etmesine olanak tanıdı.
LogoFail'in keşfi, Microsoft'un Güvenli Önyükleme'yi destekleyen mevcut kriptografik imzaları yenileriyle değiştirmesini gerektiriyor. 2011 tarihli üç eski imza kaldırılıyor. Yerlerine 2023 tarihli imzalar geliyor. Microsoft, Windows 10 ve Windows 11 makinelerini güncelleme sürecinde. Linux dağıtımları da, Güvenli Önyükleme anahtarları ile Linux önyükleyicisi arasında güvenilir bir köprü görevi gören küçük, birinci aşama bir UEFI önyükleyicisi olan "shim"leri güncelleme sürecindeler. Mümkünse, yeni sertifikalar değiştirilmeden önce yeni anakart aygıt yazılımı güncellemelerini yüklemekten kaçınılmalıdır.
Güvenli Önyükleme ile ilgili anahtarları güncellemeyen makineler çalışmaya devam edecek, ancak yeni UEFI tehditlerine karşı korunmayacaklar. Açık olmak gerekirse, bu makineler zaten sektör çapında LogoFail zafiyetini sömüren yeni UEFI tehditlerine karşı savunmasızlardı. Anahtar yenilemesi, bu riski azaltmak ve gelecekte ortaya çıkabilecek ilgisiz UEFI saldırılarını önlemek için tasarlanmıştır.
Windows makinelerdeki anahtarların durumunu kontrol etmek için kullanıcılar, Windows Güvenlik ayarları > Cihaz Güvenliği > Güvenli Önyükleme'yi açabilirler. Yeşil bir onay işareti, güncellemenin tamamlandığı anlamına gelir. Çoğu Windows makinesi, düzenli aylık yama dağıtımları sırasında anahtarları otomatik olarak günceller, ancak eski makineler manuel müdahale gerektirebilir. Linux kullanıcıları yeni shim sürümlerini beklemelidir.
