Bu haftanın başlarında, Microsoft tarafından kullanılan bir Güvenli Önyükleme atlama hatasını düzeltmek için bir yama yayınladı. BlackLotus önyükleme seti Mart ayında bildirdik. Orijinal güvenlik açığı, CVE-2022-21894Ocak ayında yamalandı, ancak yeni yama CVE-2023-24932 Windows 10 ve 11 çalıştıran sistemler ve Windows Server 2008’e kadar uzanan Windows Server sürümleri için aktif olarak istismar edilen başka bir geçici çözümü ele alır.
BlackLotus önyükleme seti, Güvenli Önyükleme korumalarını atlayabilen, bilgisayarınız Windows’u ve birçok güvenlik korumasını yüklemeye başlamadan önce kötü amaçlı kodun yürütülmesine izin veren, bilinen ilk gerçek dünya kötü amaçlı yazılımıdır. Güvenli Önyükleme, Dell, Lenovo, HP, Acer ve diğerleri gibi şirketler tarafından satılan çoğu Windows PC’de on yılı aşkın bir süredir varsayılan olarak etkinleştirilmiştir. Windows 11 çalıştıran bilgisayarlarda, yazılımın sistem gereksinimlerini karşılamak için Windows 11 etkinleştirilmelidir.
Microsoft, güvenlik açığının bir sisteme fiziksel erişimi veya sistem üzerinde yönetici hakları olan bir saldırgan tarafından kullanılabileceğini söylüyor. Güvenli Önyükleme etkinken fiziksel bilgisayarları ve sanal makineleri etkileyebilir.
Yeni düzeltmeyi vurgulamamızın bir nedeni, birçok yüksek öncelikli Windows düzeltmesinin aksine, güncelleştirmenin yüklendikten sonra en az birkaç ay boyunca varsayılan olarak devre dışı kalması ve kısmen de sonunda mevcut Windows önyükleme ortamını önyüklenemez hale getirmesidir. Düzeltme, etkinleştirildikten sonra geri alınamayan Windows önyükleme yöneticisinde değişiklikler yapılmasını gerektirir.
“Güvenli Önyükleme özelliği, bir işletim sistemi başlatıldığında yüklenmesine izin verilen önyükleme ortamını hassas bir şekilde kontrol eder ve bu düzeltme düzgün şekilde etkinleştirilmezse, kesintiye neden olma ve sistemin başlatılmasını önleme potansiyeli vardır.” Güncelleştirme hakkında Microsoft destek makaleleri.
Ek olarak, düzeltmeler etkinleştirildikten sonra, bilgisayarınız artık düzeltmeleri içermeyen eski önyüklenebilir ortamlardan önyükleme yapamayacaktır. Üzerinde etkilenen ortamların uzun listesi: Windows, Microsoft’un ISO dosyalarından oluşturulan DVD’ler ve USB sürücüler gibi ortamları kurar; BT departmanları tarafından sağlanan özel Windows yükleme görüntüleri; tam sistem yedeklemeleri; BT departmanları tarafından makinelerde sorun gidermek ve yeni Windows görüntülerini dağıtmak için kullanılanlar da dahil olmak üzere ağ önyükleme sürücüleri; kullanan soyulmuş önyükleme sürücüleri Windows PE; ve OEM bilgisayarlarla satılan kurtarma ortamı.
Aniden herhangi bir kullanıcının sistemini önyüklenebilir hale getirmek istemeyen Microsoft, güncellemeyi önümüzdeki birkaç ay içinde aşamalı olarak kullanıma sunacak. Yamanın ilk sürümü şunları gerektirir: etkinleştirmek için önemli kullanıcı müdahalesi– önce May’in güvenlik güncellemelerini yüklemeniz, ardından sisteminizin gizli EFI önyükleme bölümünü ve kayıt defterinizi güncelleyen bir çift “iptal dosyası”nı manuel olarak uygulamak ve doğrulamak için beş adımlı bir işlem kullanmanız gerekir. Bunlar, önyükleyicinin daha eski, savunmasız sürümlerine PC’ler tarafından artık güvenilmeyecek şekilde yapacaktır.
Temmuz ayında, yamayı varsayılan olarak etkinleştirmeyecek, ancak onu yapacak ikinci bir güncelleme gelecek. Daha kolay etkinleştirmek. “2024’ün ilk çeyreğinde” üçüncü bir güncelleme, düzeltmeyi varsayılan olarak etkinleştirecek ve eski önyükleme medyasını tüm yamalı Windows PC’lerde önyüklenemez hale getirecek. Microsoft, “bu programı hızlandırmak için fırsatlar aradığını” söylüyor, ancak bunun ne anlama geleceği belli değil.
ESET’in tehdit araştırma direktörü Jean-Ian Boutin, BlackLotus’un ve diğer bootkit’lerin Ars’a yönelik önemini ilk rapor ettiğimizde şöyle açıklamıştı:
Nihai çıkarım, UEFI bootkit BlackLotus’un, güvenli önyükleme etkinken en son Windows sürümünü kullanarak güncel sistemlere kendini kurabilmesidir. Güvenlik açığı eski olmasına rağmen, tüm güvenlik önlemlerini atlamak ve bir sistemin önyükleme sürecini tehlikeye atmak için saldırgana sistem başlatmanın erken aşaması üzerinde kontrol sağlamak için bundan yararlanmak hala mümkündür. Ayrıca, saldırganların implantları için ürün yazılımı yerine EFI Sistem Bölümüne (ESP) odaklandığı, daha kolay dağıtım için gizliliği feda ettiği, ancak benzer düzeyde yeteneklere izin verdiği bir eğilimi de gösteriyor.
Bu düzeltme, düşük seviyeli Güvenli Önyükleme ve UEFI güvenlik açıklarına yama uygulama zorluklarını vurgulayan son zamanlardaki tek güvenlik olayı değil; bilgisayar ve anakart üreticisi MSI son zamanlarda imzalama anahtarları bir fidye yazılımı saldırısında sızdırıldıve şirketin ürünlerine güvenliği ihlal edilmiş anahtarla imzalanmış üretici yazılımı güncellemelerine güvenmemelerini söylemesinin basit bir yolu yoktur.