Mola veremiyorum: BlackLotus’u hatırladın mı? Benzer yeni bir güvenlik açığı şimdi de ortaya çıktı ve bu, en yeni Raptor Lake platformunu temel alan cihazlar da dahil olmak üzere Intel tabanlı cihazlar için bir sonraki büyük baş ağrısı olabilir. UEFI donanım yazılımını etkileyerek saldırganlara savunmasız bilgisayarlara zarar verebilecek bir arka kapı verme potansiyeline sahiptir.
Kusur (CVE-2024-0762 ve CVSS değeri 7,5 olarak bildirildi), Phoenix SecureCore UEFI donanım yazılımında siber güvenlik firması Eclypsium tarafından keşfedildi ve bu kusur Lenovo ThinkPad X1 Carbon 7. Nesil ve X1 Yoga 4. Nesil cihazlarda tespit edildi. Daha ayrıntılı araştırmalar, güvenlik açığının Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake ve Tiger Lake dahil olmak üzere çok çeşitli Intel CPU’ları için SecureCore donanım yazılımını etkilediğini ortaya çıkardı.
Şu ana kadar piyasaya sürülen her “Lake” bu kadar olduğundan Lenovo, Dell, Acer ve HP gibi büyük üreticilerin yüzlerce modeli etkilenebilir.
Güvenlik açığı, temel olarak ürün yazılımının Güvenilir Platform Modülü (TPM) yapılandırmasında bulunan ve saldırganların ayrıcalıkları yükseltmesine ve çalışma zamanı sırasında UEFI ürün yazılımı içinde kod yürütme elde etmesine olanak tanıyan bir arabellek taşması hatasıdır. Saldırganlar, dikkatle hazırlanmış veriyi bitişik belleğin üzerine yazarak ayrıcalıkları yükseltebilir ve ürün yazılımı içinde kod yürütme yetenekleri kazanarak, kötü amaçlı önyükleme kiti yüklemelerine olanak sağlayabilir.
Eclypsium, “Açık olmak gerekirse, bu güvenlik açığı TPM yapılandırmasını işleyen UEFI kodunda yatıyor; diğer bir deyişle, temel kod kusurluysa TPM gibi bir güvenlik yongasına sahip olmanızın bir önemi yok” diye açıklıyor.
Bu tür düşük seviyeli istismarlar, kötü aktörlere cihazlara kalıcı erişim ve işletim sistemi ile yazılım katmanlarında daha yüksek seviyeli güvenlik önlemlerini aşma araçları sağlayarak, giderek daha yaygın hale geliyor.
UEFI ürün yazılımının, Windows, macOS ve Linux gibi çağdaş işletim sistemleri tarafından desteklenen bir özellik olan Güvenli Önyükleme nedeniyle genellikle daha güvenli olduğu düşünülmektedir. Ancak bu güvenlik açığının keşfi, kötü amaçlı önyükleme kitleri oluşturmak için UEFI hatalarını hedefleme yönündeki artan eğilimin altını çiziyor. BlackLotus, CosmicStrand ve MosaicAggressor gibi bu önyükleme kitleri, UEFI önyükleme sürecinde erken yüklenerek saldırganlara sisteme düşük düzeyde erişim sağlar. Bu, tespit edilmesini inanılmaz derecede zorlaştırır.
Bu keşfe yanıt olarak Eclypsium, kusuru gidermek için Phoenix ve Lenovo ile işbirliği yaptı. Lenovo, etkilenen cihazlar için halihazırda ürün yazılımı güncellemelerini yayımladı ve müşterilerin en son ürün yazılımı güncellemeleri için ilgili satıcılara başvurmaları tavsiye ediliyor. Ancak, bu yazının yazıldığı sırada tüm modellerde mevcut ürün yazılımı güncellemelerinin bulunmadığını ve birçoğunun bu yılın sonlarında piyasaya sürülmesinin planlandığını unutmamak önemlidir.
Intel kullanıcısıysanız BIOS’unuzu mümkün olan en kısa sürede güncellemeniz çok önemlidir. Ancak, acele etmeden önce, güncelleme işlemi sırasında işler ters giderse diye, önemli dosyalarınızı ve orijinal BIOS’unuzu yedeklemek için mühlet yapın.
Bu arada Phoenix Technologies, Mayıs ayında güvenlik açığını açıkladı ve azaltıcı önlemlerin Nisan ayı başlarında yayınlandığını duyurdu. “Phoenix Technologies, müşterilerinin donanım yazılımlarını en son sürüme güncellemelerini ve bu kusurdan herhangi bir şekilde yararlanılmasını önlemek için mümkün olan en kısa sürede donanım satıcılarıyla iletişime geçmelerini şiddetle tavsiye ediyor” dedi.