SurgeoN
Yeni Üye
Siber güvenlikte dünya başkanı ESET, Lenovo dizüstü bilgisayarlarda kullanıcıları UEFI makus emelli yazılım yükleme riskine maruz bırakan güvenlik açıkları keşfetti. Bu güvenlik açıklarından yararlanan saldırganlar LoJax ve ESPecter üzere UEFI berbat gayeli yazılımlarını dağıtıyor ve muvaffakiyetle yürütüyor.
ESET Araştırma Ünitesi, tüm Lenovo dizüstü bilgisayar sahiplerine, etkilenen aygıtlar listesini gözden geçirmelerini ve eser yazılımlarını güncellemelerini şiddetle tavsiye ediyor.
ESET araştırmacıları, çeşitli Lenovo dizüstü bilgisayar modellerini etkileyen üç güvenlik açığı keşfetti ve bu açıkları tahlil etti. Bu güvenlik açıklarından yararlanan saldırganlar, UEFI makus hedefli yazılımlarını LoJax üzere SPI flaş implantları yahut en son keşfedilen ESPecter üzere ESP implantları biçiminde dağıtıyor ve başarılı bir biçimde yürütüyor. ESET, keşfedilen tüm güvenlik açıklarını Ekim 2021’de Lenovo’ya bildirdi. Etkilenen aygıtların listesi, dünya çapında milyonlarca kullanıcısı olan yüzden çok farklı dizüstü bilgisayar modelini içeriyor.
Güvenlik açıklarını keşfeden ESET araştırmacısı Martin Smolár, bu hususta şunları söylemiş oldu: “UEFI tehditleri son derece bilinmeyen ve tehlikeli olabilir. Bilgisayar birinci açıldığında, denetimi işletim sistemine aktarmadan evvel çalışırlar; bu durum, işletim sistemi devreye girmeden gerçekleştiği için sistemde yüklü olan neredeyse tüm güvenlik tedbirlerini atlayabilecekleri manasına gelir. “Güvenli” olarak isimlendirilen bu UEFI art kapıları hakkındaki keşfimiz, birtakım durumlarda UEFI tehditlerinin dağıtımının hayli kolay olabileceğini ve son senelerda gerçek ömürde daha epey UEFI tehdidinin keşfedilmesinin, saldırganların da bu kolaylığın farkında olmalarından kaynaklandığını gösteriyor.”
UEFI tehditleri son derece kapalı ve tehlikeli olabilir
Bu güvenlik açıklarından birinci ikisi olan CVE-2021-3970 ve CVE-2021-3971, UEFI eser yazılımında yerleşik olarak bulunan “güvenli” art kapılardır. Bu yerleşik art kapılar, işletim sistemi çalışırken ayrıcalıklı bir kullanıcı modu sürecinden SPI flaş müdafaalarını (BIOS Denetim Kaydı bitleri ve Müdafaa Aralığı kayıtları) yahut UEFI Secure Boot özelliğini devre dışı bırakmak için etkinleştirilebilir.
Ayrıyeten, “güvenli” art kapı ikili belgelerini araştırırken üçüncü bir güvenlik açığını da keşfettik: SW SMI işleyici fonksiyonu ortasında SMM bellek bozulması (CVE-2021-3972). Bu güvenlik açığı, SMM ayrıcalıklarıyla makûs maksatlı kodun yürütülmesine ve potansiyel olarak bir SPI flaş implantının dağıtımına yol açabilecek biçimde SMRAM’den/SMRAM’e rastgele okuma/yazma imkanı sağlar.
UEFI önyükleme ve çalıştırma hizmetleri; protokoller kurma, mevcut protokolleri bulma, bellek ayırma, UEFI değişken manipülasyonu vb. üzere, şoförlerin ve uygulamaların işlerini yapmaları için gerekli olan temel fonksiyonları ve bilgi yapılarını sağlar. UEFI önyükleme şoförleri ve uygulamaları, protokolleri kapsamlı bir biçimde kullanır. UEFI değişkenleri, önyükleme yapılandırması da dahil olmak üzere çeşitli yapılandırma datalarını depolamak için UEFI modülleri tarafınca kullanılan özel bir üretici yazılımı depolama sistemidir.
Öte yandan SMM, x86 işlemcilerin çok ayrıcalıklı bir yürütme modudur. Kodu, sistem firmware’i olarak yazılır ve ekseriyetle gelişmiş güç idaresi, OEM’e özel kod yürütülmesi ve inançlı firmware güncellemeleri dahil olmak üzere çeşitli nazaranvler için kullanılır.
Smolár bunu şöyleki açıklıyor: “Son senelerda keşfedilen tüm gerçek dünya UEFI tehditlerinin (LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy), devreye alınabilmesi ve yürütülebilmesi için güvenlik düzeneklerini bir biçimde baypas etmesi yahut devre dışı bırakması gerekiyordu.”
ESET Araştırma Ünitesi, tüm Lenovo dizüstü bilgisayar sahiplerine, etkilenen aygıtlar listesini gözden geçirmelerini ve eser yazılımlarını, üretici talimatları uyarınca güncellemelerini değerle tavsiye ediyor.
Şayet mevcut bir güncelleme yoksa yahut UEFI SecureBootBackdoor’dan (CVE-2021-3970) etkilenen ve artık güncellenmeyen, eski aygıtlar kullanıyorsanız UEFI Secure Boot durumunu istenmeyen değişikliklere karşı müdafaanın bir yolu, UEFI Secure Boot’u değişirse disk datalarını erişilemez hale getirebilen TPM’ye hassas tam disk şifreleme tahlili kullanabilirsiniz.
Hibya Haber Ajansı
ESET Araştırma Ünitesi, tüm Lenovo dizüstü bilgisayar sahiplerine, etkilenen aygıtlar listesini gözden geçirmelerini ve eser yazılımlarını güncellemelerini şiddetle tavsiye ediyor.
ESET araştırmacıları, çeşitli Lenovo dizüstü bilgisayar modellerini etkileyen üç güvenlik açığı keşfetti ve bu açıkları tahlil etti. Bu güvenlik açıklarından yararlanan saldırganlar, UEFI makus hedefli yazılımlarını LoJax üzere SPI flaş implantları yahut en son keşfedilen ESPecter üzere ESP implantları biçiminde dağıtıyor ve başarılı bir biçimde yürütüyor. ESET, keşfedilen tüm güvenlik açıklarını Ekim 2021’de Lenovo’ya bildirdi. Etkilenen aygıtların listesi, dünya çapında milyonlarca kullanıcısı olan yüzden çok farklı dizüstü bilgisayar modelini içeriyor.
Güvenlik açıklarını keşfeden ESET araştırmacısı Martin Smolár, bu hususta şunları söylemiş oldu: “UEFI tehditleri son derece bilinmeyen ve tehlikeli olabilir. Bilgisayar birinci açıldığında, denetimi işletim sistemine aktarmadan evvel çalışırlar; bu durum, işletim sistemi devreye girmeden gerçekleştiği için sistemde yüklü olan neredeyse tüm güvenlik tedbirlerini atlayabilecekleri manasına gelir. “Güvenli” olarak isimlendirilen bu UEFI art kapıları hakkındaki keşfimiz, birtakım durumlarda UEFI tehditlerinin dağıtımının hayli kolay olabileceğini ve son senelerda gerçek ömürde daha epey UEFI tehdidinin keşfedilmesinin, saldırganların da bu kolaylığın farkında olmalarından kaynaklandığını gösteriyor.”
UEFI tehditleri son derece kapalı ve tehlikeli olabilir
Bu güvenlik açıklarından birinci ikisi olan CVE-2021-3970 ve CVE-2021-3971, UEFI eser yazılımında yerleşik olarak bulunan “güvenli” art kapılardır. Bu yerleşik art kapılar, işletim sistemi çalışırken ayrıcalıklı bir kullanıcı modu sürecinden SPI flaş müdafaalarını (BIOS Denetim Kaydı bitleri ve Müdafaa Aralığı kayıtları) yahut UEFI Secure Boot özelliğini devre dışı bırakmak için etkinleştirilebilir.
Ayrıyeten, “güvenli” art kapı ikili belgelerini araştırırken üçüncü bir güvenlik açığını da keşfettik: SW SMI işleyici fonksiyonu ortasında SMM bellek bozulması (CVE-2021-3972). Bu güvenlik açığı, SMM ayrıcalıklarıyla makûs maksatlı kodun yürütülmesine ve potansiyel olarak bir SPI flaş implantının dağıtımına yol açabilecek biçimde SMRAM’den/SMRAM’e rastgele okuma/yazma imkanı sağlar.
UEFI önyükleme ve çalıştırma hizmetleri; protokoller kurma, mevcut protokolleri bulma, bellek ayırma, UEFI değişken manipülasyonu vb. üzere, şoförlerin ve uygulamaların işlerini yapmaları için gerekli olan temel fonksiyonları ve bilgi yapılarını sağlar. UEFI önyükleme şoförleri ve uygulamaları, protokolleri kapsamlı bir biçimde kullanır. UEFI değişkenleri, önyükleme yapılandırması da dahil olmak üzere çeşitli yapılandırma datalarını depolamak için UEFI modülleri tarafınca kullanılan özel bir üretici yazılımı depolama sistemidir.
Öte yandan SMM, x86 işlemcilerin çok ayrıcalıklı bir yürütme modudur. Kodu, sistem firmware’i olarak yazılır ve ekseriyetle gelişmiş güç idaresi, OEM’e özel kod yürütülmesi ve inançlı firmware güncellemeleri dahil olmak üzere çeşitli nazaranvler için kullanılır.
Smolár bunu şöyleki açıklıyor: “Son senelerda keşfedilen tüm gerçek dünya UEFI tehditlerinin (LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy), devreye alınabilmesi ve yürütülebilmesi için güvenlik düzeneklerini bir biçimde baypas etmesi yahut devre dışı bırakması gerekiyordu.”
ESET Araştırma Ünitesi, tüm Lenovo dizüstü bilgisayar sahiplerine, etkilenen aygıtlar listesini gözden geçirmelerini ve eser yazılımlarını, üretici talimatları uyarınca güncellemelerini değerle tavsiye ediyor.
Şayet mevcut bir güncelleme yoksa yahut UEFI SecureBootBackdoor’dan (CVE-2021-3970) etkilenen ve artık güncellenmeyen, eski aygıtlar kullanıyorsanız UEFI Secure Boot durumunu istenmeyen değişikliklere karşı müdafaanın bir yolu, UEFI Secure Boot’u değişirse disk datalarını erişilemez hale getirebilen TPM’ye hassas tam disk şifreleme tahlili kullanabilirsiniz.
Hibya Haber Ajansı