ESET, Güvenli Önyükleme’yi aşan 11 Microsoft imzalı UEFI bileşeni buldu
ESET, saldırganların Güvenli Önyükleme’yi aşarak işletim sistemi açılmadan zararlı kod çalıştırmasına imkân veren 11 eski UEFI bileşeni belirledi.
Ahmet Taş | Hosting İstanbul
BRATİSLAVA, SLOVAKYA — ESET Araştırma Ekibi, Microsoft tarafından imzalanmış 11 eski UEFI ara katman önyükleyicisinin, desteklenen işletim sisteminden bağımsız olarak Güvenli Önyükleme korumasını aşmak için kullanılabileceğini açıkladı.
Araştırmaya göre saldırganlar, sürüm 0.9 ve daha eski olan bu bileşenleri kullanarak işletim sistemi başlamadan önce güvenilmeyen kod çalıştırabiliyor. Böyle bir saldırı, Güvenli Önyükleme etkin olsa bile zararlı UEFI bootkit’lerinin yerleştirilmesine, güvenlik araçlarının devre dışı bırakılmasına ve sistem üzerinde kalıcı hâkimiyet kurulmasına imkân verebiliyor.
ESET’in bulguları yalnızca eski yazılım paketlerinin hâlen kullanıldığı bilgisayarları ilgilendirmiyor. Microsoft Corporation UEFI CA 2011 sertifikasına güvenen ve gerekli DBX iptal güncellemelerini almamış bir sisteme saldırgan tarafından savunmasız bileşenin ayrı bir kopyası getirilebiliyor. Bu nedenle risk Windows, Linux, masaüstü bilgisayar, sunucu ve bazı sanal makine ortamlarını kapsayabilecek kadar geniş değerlendiriliyor.
Eski UEFI bileşenleri güven zincirinde kalmaya devam etti
UEFI, bilgisayarın donanımını başlatan ve denetimi işletim sistemine aktaran modern bellenim mimarisini ifade ediyor. Güvenli Önyükleme ise bilgisayar açılırken yalnızca güvenilir ve kriptografik olarak imzalanmış bileşenlerin çalıştırılmasını sağlamayı amaçlıyor.
Sistem, çalıştırılacak önyükleme bileşenini iki temel veritabanı üzerinden kontrol ediyor. “DB” olarak adlandırılan izinli imza veritabanı güvenilir sertifikaları ve dosya özetlerini içerirken “DBX” veritabanı artık güvenilmemesi gereken sertifikaları ve önyükleme bileşenlerini engelliyor.
Linux dağıtımları ve bazı üçüncü taraf yazılımlar, Güvenli Önyükleme zincirine katılabilmek için “shim” adı verilen küçük bir ara katman kullanıyor. Microsoft tarafından imzalanan shim, anakartın UEFI bellenimi ile dağıtıma özgü GRUB 2 önyükleyicisi veya işletim sistemi çekirdeği arasında bir güven köprüsü kuruyor.
Sorun, yıllar önce oluşturulmuş bazı shim dosyalarının bilinen güvenlik eksikliklerine rağmen Microsoft imzasını ve sistemlerdeki güvenilir konumunu korumasından kaynaklandı. Bu dosyalar DBX listesine eklenmediği sürece UEFI tarafından geçerli bir bileşen gibi çalıştırılabiliyordu.
Saldırı işletim sistemi başlamadan gerçekleşebiliyor
CERT Koordinasyon Merkezi’nin teknik notuna göre saldırının kullanılabilmesi için saldırganın yönetici yetkisine sahip olması veya sistemin önyükleme sürecini değiştirebilmesi gerekiyor. Bu nedenle açık, internet üzerinden hiçbir erişim olmadan tek adımda kullanılabilen sıradan bir uzaktan saldırı olarak değerlendirilmemeli.
Ancak gerekli erişim elde edildiğinde saldırgan, savunmasız shim dosyasını sisteme getirerek normalde imzasız olduğu için engellenmesi gereken kodu önyükleme aşamasında çalıştırabiliyor. Bu yöntem, “kendi savunmasız bileşenini getir” yaklaşımının önyükleme zincirine uygulanmış biçimine benzetiliyor.
İşletim sistemi henüz yüklenmeden çalışan kod, güvenlik açısından özellikle tehlikeli kabul ediliyor. Antivirüs, Endpoint Detection and Response sistemi ve işletim sistemi tabanlı diğer güvenlik katmanları bu aşamada henüz etkin olmayabiliyor.
CERT/CC, erken önyükleme aşamasında çalışan zararlı kodun imzasız çekirdek bileşenleri yükleyebileceğini, yeniden başlatmaların ardından varlığını sürdürebileceğini ve bazı durumlarda işletim sistemi yeniden kurulduktan sonra bile sistemde kalabileceğini belirtiyor.
Açıklardan farklı yazılım ve Linux paketleri etkilendi
ESET tarafından belirlenen 11 dosya; bilgisayar tanılama araçları, kurumsal yönetim yazılımları, veri silme çözümleri, Linux dağıtımları ve başka UEFI tabanlı yardımcı programlarla bağlantılı bulunuyor.
CERT/CC’nin yayımladığı listede Red Hat Enterprise Linux 7.2, CentOS 7.2, Oracle Linux 7.2, eski OpenSUSE shim bileşenleri, PC-Doctor Service Center, WipeDrive, baramundi Management Suite ve bazı başka ürünlerle dağıtılan önyükleyiciler yer alıyor. Bileşenlerin önemli bölümü shim 0.9 veya daha eski sürümlere dayanıyor.
Araştırmacılar güvenlik sorunlarını iki ayrı kimlik altında takip ediyor: CVE-2026-8863 ve CVE-2026-10797. Bununla birlikte ESET, riskin yalnızca bu iki güvenlik açığından ibaret olmadığını vurguluyor. Eski shim dosyalarının ardından çalıştırılan GRUB 2 gibi ikinci aşama önyükleyiciler de geçmişten kalan bilinen açıkları barındırabiliyor.
Listede adı geçen bir ürünün güncel sürümünü kullanmak, tek başına cihazın saldırıya uğradığı anlamına gelmiyor. Tersine, listede bulunan yazılımın cihazda hiç kurulu olmaması da gerekli iptal güncellemesi uygulanmamışsa riski tamamen ortadan kaldırmıyor. Saldırgan, savunmasız ve geçerli imzaya sahip dosyayı harici bir önyükleme ortamından sisteme getirebiliyor.
Sertifikanın süresinin dolması dosyaları otomatik olarak engellemiyor
ESET’in dikkat çektiği önemli noktalardan biri de Microsoft Corporation UEFI CA 2011 sertifikasının süresinin dolmasının, daha önce bu sertifikayla imzalanmış önyükleyicileri otomatik olarak güvensiz hâle getirmemesi.
UEFI Güvenli Önyükleme denetimi, sertifikanın güncel takvim tarihindeki geçerlilik süresinden çok cihazın izinli ve yasaklı imza veritabanlarına bakıyor. Sertifika DB içerisinde güvenilir olarak kalıyor ve ilgili dosyanın özeti DBX listesine eklenmiyorsa eski imzalı bileşen çalıştırılmaya devam edebiliyor.
Bu durum, ESET araştırmacılarına göre sorunun yalnızca yeni bir yazılım hatası olmadığını gösteriyor. Tehlikenin temelinde, yıllar önce imzalanan ve daha sonra yeterince takip edilerek iptal edilmeyen eski bileşenler bulunuyor.
ESET, shim imzalama süreçlerinin 2017’den sonra daha şeffaf hâle geldiğini ancak daha önce imzalanmış tüm dosyaların eksiksiz bir envanterinin bulunmadığını belirtiyor. Bu nedenle aynı yöntemle kullanılabilecek başka eski ve hâlen güvenilir bileşenlerin bulunup bulunmadığı kesin olarak bilinmiyor.
Microsoft 11 dosyayı DBX güncellemesiyle iptal etti
ESET, bulgularını ve hazırladığı kavram kanıtlama çalışmasını 16 Şubat 2026’da CERT/CC’ye bildirdi. Açıklama ve düzeltme süreci, etkilenen üreticiler ve Microsoft ile koordineli biçimde yürütüldü.
Savunmasız 11 UEFI dosyasının imza özetleri, Microsoft’un 9 Haziran 2026 tarihli güvenlik güncellemesiyle UEFI Yasaklı İmzalar Veritabanı’na eklendi. Bu DBX güncellemesinin başarıyla uygulanmasının ardından söz konusu dosyaların Güvenli Önyükleme zincirinde çalıştırılması engelleniyor. CERT/CC teknik notu 9 Haziran’da, ESET’in ayrıntılı araştırma yazısı ise 14 Temmuz’da yayımlandı.
İptal işleminin dosyaların yalnızca tek tek hash değerlerine uygulanması, bilinen bu 11 bileşene karşı doğrudan koruma sağlıyor. Ancak ESET, henüz tespit edilmemiş veya envanterde bulunmayan başka eski imzalı UEFI uygulamalarının da benzer risk oluşturabileceği uyarısında bulunuyor.
Windows ve Linux sistemlerinde güncellemeler kontrol edilmeli
ESET, Windows sistemlerinin güncel UEFI iptal listelerini normal güncelleme süreci üzerinden otomatik olarak almasının beklendiğini belirtiyor. Kullanıcıların Windows Update’i çalıştırması, bekleyen güvenlik güncellemelerini yüklemesi ve güncellemenin tamamlanması için sistemi yeniden başlatması gerekiyor.
Kurumsal sistem yöneticilerinin yalnızca işletim sistemi güncellemesinin görünmesine güvenmek yerine DBX iptallerinin cihaz bellenimine başarıyla aktarıldığını doğrulaması öneriliyor. Microsoft, Secure Boot veritabanı ve DBX güncellemelerinin durumunu Windows olay günlükleri üzerinden izlemek için farklı olay kimlikleri sağlıyor.
Linux sistemlerinde güncellemelerin dağıtım sağlayıcısından ve Linux Vendor Firmware Service üzerinden alınması bekleniyor. ESET, DBX durumunun uefi-dbx-audit gibi denetim araçlarıyla kontrol edilebileceğini belirtiyor.
CERT/CC ayrıca güncel işletim sistemi, önyükleyici ve üretici bellenim güncellemelerinin kurulmasını öneriyor. Kurumların DBX değişikliklerini geniş cihaz filolarına uygulamadan önce test etmesi gerekiyor; çünkü eski veya uyumsuz önyükleme bileşenlerinin iptal edilmesi bazı sistemlerin açılmasını engelleyebilir. Güvenilir yeni bileşenlerin ve sertifikaların önce yüklenmesi, iptal listesinin ise ardından uygulanması tavsiye ediliyor.
Sunucular ve sanal ortamlar da envantere dâhil edilmeli
Güvenli Önyükleme yalnızca kişisel bilgisayarlarda kullanılmıyor. Fiziksel sunucular, kurumsal iş istasyonları ve Güvenli Önyükleme etkinleştirilmiş sanal makineler de benzer güven zincirlerinden yararlanabiliyor.
CERT/CC; işletmelerin, sanallaştırma sağlayıcılarının ve bulut operatörlerinin kullandıkları UEFI bileşenlerini incelemesini, güncel DBX listesini doğrulamasını ve değişiklikleri kontrollü biçimde yaygınlaştırmasını öneriyor. Kurtarma ortamları, eski Linux kalıpları, taşınabilir tanılama araçları ve yıllardır güncellenmeyen önyüklenebilir USB bellekler de kontrol edilmesi gereken varlıklar arasında bulunuyor.
Güncelleme tamamlanana kadar Güvenli Önyükleme’nin kapatılması önerilmiyor. Bunun yerine özelliğin etkin tutulması, güvenilmeyen harici önyükleme ortamlarının kullanılmaması, BIOS veya UEFI ayarlarının parola ve fiziksel erişim kontrolleriyle korunması gerekiyor.
ESET’in araştırması, yalnızca yeni yazılım açıklarının değil, geçmişte güvenilir kabul edilmiş ancak zamanında iptal edilmemiş bileşenlerin de uzun yıllar sonra kritik bir saldırı yüzeyi oluşturabileceğini gösteriyor. Bilinen 11 dosyanın engellenmesi mevcut tehdidi azaltırken, eski UEFI bileşenlerinin düzenli olarak envantere alınması ve iptal listelerinin güncel tutulması kalıcı korumanın temelini oluşturuyor.
Hostingİstanbul.com
Tepkin Ne?
Harika
0
Kötü
0
Sevdim
0
Komik
0
Şaşırdım
0
Üzücü
0
Kızdım
0
Yorumlar (0)