Güvenlik uzmanları, saldırganların on yıllık güvenlik açıklarından yararlanarak UEFI Güvenli Önyükleme’yi atlatmasına olanak tanıyan, Microsoft tarafından imzalanmış 11 adet güvenlik açığı bulunan UEFI ara katman önyükleyicisi keşfetti.
UEFI ara katman önyükleyiciler, anakart UEFI bellenimi ile işletim sistemi arasındaki boşluğu doldurmak üzere tasarlanmış küçük kod parçaları. 0.9 ve daha eski sürümlerdeki güvenlik açığı bulunan ara katmanlar, yüklü işletim sisteminden bağımsız olarak, Microsoft Corporation UEFI CA 2011 üçüncü taraf UEFI sertifika yetkilisi (CA) sertifikasına güvenen herhangi bir UEFI tabanlı makinede UEFI Güvenli Önyükleme’yi atlatmak için kullanılabilir.
Bildirilen ara katmanlar, sistem önyüklemesi sırasında güvenilmeyen kodları çalıştırmak için istismar edilebilir; bu da saldırganların, UEFI Güvenli Önyükleme’nin etkin olduğu sistemlerde bile kötü amaçlı UEFI bootkit’leri yerleştirmelerine olanak tanır. Güvenlik uzmanları, bulgularını CERT/CC’ye bildirdi; ardından güvenlik açığı bulunan UEFI uygulamalarının sertifikaları iptal edildi.

Keşfedilen ara katmanlar, PC tanılama yazılımları, Linux dağıtımları ve diğer UEFI tabanlı yardımcı programlar dâhil olmak üzere çeşitli araçlardan veya yazılım paketlerinden kaynaklanıyor. Önemli bir nokta olarak, saldırganlar Microsoft üçüncü taraf UEFI sertifikasının kayıtlı olduğu herhangi bir UEFI sistemine güvenlik açığı bulunan ara katmanların kendi kopyalarını getirebildikleri için istismar sadece etkilenen yazılım veya işletim sisteminin yüklü olduğu sistemlerle sınırlı değil.
Yıllar içinde, UEFI ara katman önyükleyicisi doğal olarak gelişti; üst akış UEFI ara katman deposunun ardışık sürümlerinde yeni iyileştirmeler ve güvenlik özellikleri eklendi. Aynı zamanda, birçok üçüncü taraf satıcı, ara katman kaynak kodunun mevcut sürümlerini kullanarak kendi ikili dosyalarını oluşturmuş ve bunları daha sonra imzalanması için Microsoft’a sunmuştur.

Bu davranış beklenen bir durumdur ve ara katmanların orijinal tasarımıyla uyumludur. Ancak Microsoft tarafından imzalanmış ve artık geçerliliğini yitirmiş ara katmanların iptal edilmesine yeterince önem verilmemiştir; bu ara katmanların çoğu, tasarımları gereği, daha yeni güvenlik mekanizmalarını atlatmak için kullanılabilir.
Bu güvenlik açığı bulunan ara katmanlar, Microsoft’tan alınan en son UEFI iptal listeleri uygulanarak engellenebilir. Windows sistemleri otomatik olarak güncellenmelidir. Linux sistemleri için ise güncellemeler, Linux Vendor Firmware Service aracılığıyla sağlanmalıdır.





