Aurich Lawson | Getty Resimleri
Araştırmacılar Çarşamba günü büyük bir siber güvenlik keşfini duyurdular: Güvenli Önyükleme ve diğer gelişmiş korumalar etkinleştirildiğinde ve Windows’un tamamen güncelleştirilmiş sürümlerinde çalışırken bile bir bilgisayarın önyükleme sürecini ele geçirebilen, dünyanın bilinen ilk gerçek kötü amaçlı yazılım örneği.
BlackLotus olarak adlandırılan kötü amaçlı yazılım, UEFI önyükleme seti olarak bilinir. Bu gelişmiş kötü amaçlı yazılım parçaları, neredeyse her modern bilgisayarı başlatmaktan sorumlu olan düşük seviyeli ve karmaşık ürün yazılımı zinciri olan UEFI’yi (Birleşik Genişletilebilir Ürün Yazılımı Arabirimi’nin kısaltması) hedefler. Bir PC’nin aygıt sabit yazılımı ile işletim sistemi arasında köprü oluşturan mekanizma olarak UEFI, başlı başına bir işletim sistemidir. Bilgisayar ana kartına lehimlenmiş SPI bağlantılı bir flash depolama yongasında bulunur, bu da incelemeyi veya düzeltme ekini zorlaştırır. CosmicStrand, MosaicRegressor ve MoonBounce gibi önceden keşfedilen bootkit’ler, flash depolama çipinde depolanan UEFI ürün yazılımını hedefleyerek çalışır. BlackLotus dahil diğerleri, EFI sistem bölümünde saklanan yazılımı hedefler.
UEFI, bir bilgisayar açıldığında çalıştırılan ilk şey olduğu için işletim sistemini, güvenlik uygulamalarını ve ardından gelen diğer tüm yazılımları etkiler. Bu özellikler, UEFI’yi kötü amaçlı yazılım başlatmak için mükemmel bir yer haline getirir. Başarılı olduğunda, UEFI önyükleme takımları işletim sistemi güvenlik mekanizmalarını devre dışı bırakır ve işletim sistemi yeniden yüklendikten veya bir sabit sürücü değiştirildikten sonra bile bir bilgisayarın çekirdek modunda veya kullanıcı modunda çalışan gizli kötü amaçlı yazılımlardan etkilenmemesini sağlar.
Oyuncuları çekirdek düzeyinde erişime sahip neredeyse görünmez kötü amaçlı yazılımları yüklemeleri için tehdit etmek ne kadar çekici olsa da, önlerinde duran birkaç zorlu engel var. Birincisi, işletim sistemindeki veya uygulamalardaki bir veya daha fazla güvenlik açığından yararlanarak veya bir kullanıcıyı kandırarak trojenleştirilmiş yazılım yüklemesi için cihazı hacklemeleri ve yönetici sistem hakları elde etmeleri gerekliliğidir. Ancak bu yüksek çubuk temizlendikten sonra, tehdit aktörü önyükleme setini yüklemeye çalışabilir.
UEFI saldırılarının önünde duran ikinci şey, başlatma sırasında kullanılan her bir yazılım parçasının bir bilgisayar üreticisi tarafından güvenilir olmasını sağlamak için kriptografik imzalar kullanan endüstri çapında bir standart olan UEFI Secure Boot’tur. Güvenli Önyükleme, saldırganların amaçlanan önyükleme sabit yazılımını kötü amaçlı sabit yazılımla değiştirmesini önleyecek bir güven zinciri oluşturmak üzere tasarlanmıştır. Bu zincirdeki tek bir aygıt yazılımı bağlantısı tanınmazsa, Güvenli Önyükleme aygıtın başlamasını engeller.
Araştırmacılar geçmişte Güvenli Önyükleme güvenlik açıkları bulmuş olsalar da, tehdit aktörlerinin var olduğu 12 yıl boyunca korumayı atlayabildiklerine dair hiçbir gösterge olmamıştır. Şimdiye kadar.
Çarşamba günü, güvenlik firması ESET’teki araştırmacılar, Windows 10 ve 11’in tamamen güncellenmiş sürümlerini çalıştıran tamamen güncellenmiş UEFI sistemlerinde Güvenli Önyüklemeyi atlayan dünyanın ilk vahşi UEFI önyükleme setinin derinlemesine bir analizini sundular. ESET araştırmacıları, içerik oluşturucuların veya önyükleme setinin adını doğrudan gösteren diğer göstergeler, bunun neredeyse kesin olarak geçen yıldan beri yeraltı siber suç forumlarında reklamı yapılan BlackLotus olarak bilinen bir önyükleme setine karşılık geldiği sonucuna vardı. Fiyat: 5.000 $ ve ardından güncellemeler için 200 $.
ESET
Bootkit, Güvenli Önyüklemeyi yenmek için Microsoft’un Ocak 2022’de yama uyguladığı tüm desteklenen Windows sürümlerindeki bir güvenlik açığı olan CVE-2022-21894’ten yararlanır. Onu keşfeden araştırmacı tarafından Baton Drop olarak adlandırılan mantık hatası, kaldırmak için kullanılabilir. Güvenli Önyükleme, başlatma sırasındaki önyükleme sırasından çalışır. Saldırganlar ayrıca, sabit sürücüleri şifrelemek için bir Windows özelliği olan BitLocker’ın anahtarlarını elde etmek için kusuru kötüye kullanabilir.
CVE-2022-21894’ün BlackLotus yaratıcıları için özellikle değerli olduğu kanıtlanmıştır. Microsoft’un yeni yamalı yazılım yayınlamasına rağmen, güvenlik açığı bulunan imzalanmış ikili dosyalar, artık güvenilmemesi gereken önyükleme dosyalarını işaretleyen UEFI iptal listesine henüz eklenmedi. Microsoft nedenini açıklamadı, ancak muhtemelen bugün kullanımda olan yüzlerce savunmasız önyükleyici ile ilgisi var. Bu imzalanmış ikili dosyalar iptal edilirse, milyonlarca cihaz artık çalışmayacaktır. Sonuç olarak, saldırganlar yama uygulanmış yazılımları daha eski, güvenlik açığı bulunan yazılımlarla kolayca değiştirebildiğinden, tamamen güncellenen cihazlar savunmasız kalır.
