Microsoft imzalı bir firmware modülü, Güvenli Önyükleme’yi (Secure Boot) atlatabiliyor. Bu güvenlik açığı, saldırganların Güvenli Önyükleme’yi sessizce devre dışı bırakmasına olanak tanıyor. Saldırı, hedef makineye yönetici erişimi ve fiziksel erişim gerektiriyor. Açığın, Birleşik Genişletilebilir Firmware Arayüzü’nde (UEFI) olduğu belirtiliyor.
Binarly araştırmacıları, Kasım ayında Virus Total’da kusurlu bir modül buldu. Modülün, dayanıklı ekranların bir satıcısı tarafından geliştirildiği ortaya çıktı. CVE-2025-3052 olarak izlenen kusur, bir UEFI bellek bozulması güvenlik açığından kaynaklanıyor. Microsoft sertifikasına sahip modül, Güvenli Önyükleme için gerekli olan bir anahtar değişkenin üzerine yazılmasına izin veriyor. Modül, UEFI IhisiParamBuffer değişkenini okuyor ve doğrulama yapmadan bellek yazma işlemleri için bir işaretçi olarak kullanıyor. Saldırganlar, IhisiParamBuffer değişkenini rastgele bir bellek adresine ayarlayabiliyor. Bazı UEFI dağıtımları bu duruma karşı bağışıklık gösterirken, çoğu sistem potansiyel olarak risk altında bulunuyor.
Elde edilen veriler, modülün Ekim 2022’den beri çevrimiçi olarak dolaşımda olabileceğini gösteriyor. Başarılı bir saldırıdan sonra işletim sistemi, Güvenli Önyükleme etkinmiş gibi davranmaya devam edebiliyor. Binarly, kusuru Microsoft’a bildirdi. Microsoft, aynı kusura sahip 13 ek firmware modülü daha buldu. Microsoft, Haziran ayındaki Yama Salı (Patch Tuesday) güncellemesinde 14 modülün tamamı için sertifikayı iptal etti.
Siber saldırganlar, Güvenli Önyükleme’nin korumasını aşarak, birçok Windows dizüstü bilgisayarını ve sunucuyu etkileyebilecek bir yöntemle sessizce devre dışı bırakabiliyor. Bu saldırının bazı sınırlamaları bulunuyor: Microsoft bu ay bir yama yayınladı ve saldırganların hedef makineye zaten yönetici ve fiziksel erişimi olması gerekiyor.
Bu durum, Windows veya Linux bilgisayarlar açıldığında donanım başlatma işlemleri için endüstri standardı olan Birleşik Genişletilebilir Firmware Arayüzü’ndeki (UEFI) artan güvenlik açıklarını vurguluyor. UEFI, işletim sistemi başlamadan önce çalıştığı için ve dolayısıyla herhangi bir işletim sistemi düzeyindeki güvenlik savunması yüklenmeden önce, saldırganlar için düzenli bir hedef haline geliyor.
Binarly araştırmacıları, geçtiğimiz Kasım ayında Virus Total’da, havalimanları gibi halka açık alanlarda kullanılan dayanıklı ekranların bir satıcısı tarafından geliştirilmiş gibi görünen bir önyükleme firmware’ini flaşlamak için kullanılan bir modül tespit etti. Bu modül, CVE-2025-3052 olarak izlenen ve bir UEFI bellek bozulması güvenlik açığından kaynaklanan bir kusur içeriyor. Microsoft üçüncü taraf sertifikasıyla donatılmış bu modül, bir saldırganın Güvenli Önyükleme’yi uygulamak için gerekli olan bir anahtar değişkenin üzerine yazmasına olanak tanıyor. Güvenli Önyükleme, kötü amaçlı yazılımların işletim sistemiyle aynı düzeyde yüklenmesini engellemek için tasarlanmış bir UEFI güvenlik özelliğidir.
Binarly araştırmacıları, modülün UEFI IhisiParamBuffer değişkenini okuduğunu ve “değer üzerinde herhangi bir doğrulama veya mantıksal kontrol yapmadan, birden fazla bellek yazma işlemi için doğrudan bir işaretçi olarak kullandığını” tespit etti.
Bu durum, bir saldırganın değişkeni bellekteki herhangi bir rastgele adrese ayarlamasına ve “etkili bir şekilde onlara rastgele bir bellek yazma yeteneği vermesine” olanak tanıyor. IhisiParamBuffer değişkeni, önyüklemeler arasında kalması gereken değişkenleri depolamak için kullanılan kalıcı olmayan RAM’de (NVRAM) saklanıyor. NVRAM değişkenleri, tekrar eden bir güvenlik açığı kaynağıdır. WikiLeaks tarafından 2017’de yayınlanan ve eski ABD istihbarat hackeri Joshua Schulte tarafından sızdırılan CIA sızma tekniklerini ayrıntılarıyla anlatan belgeler, ajansın sistem önyüklemesi üzerinde kontrol sağlamak için NVRAM’i hedeflediğini gösterdi.
Bazı UEFI dağıtımları, IhisiParamBuffer değişkenini salt okunur olarak ele aldıkları için bu saldırıya karşı bağışıktır. Ancak Binarly, “sistemlerin büyük çoğunluğunun” potansiyel olarak risk altında olduğunu belirtti. Araştırmacılar ayrıca, modülün Ekim 2022’den beri çevrimiçi olarak dolaşımda olduğuna dair veriler ortaya çıkardı.
Başarıyla yürütüldüğünde, işletim sistemi hala Güvenli Önyükleme’nin etkin olduğunu gösterebilir. Binarly, kusuru Microsoft’a bildirdiğinde, bilişim devi aynı kusuru taşıyan 13 ek firmware modülü daha buldu. Microsoft, Haziran ayındaki Yama Salı düzeltme paketinde 14 modülün tamamı için Microsoft sertifikasını iptal etti.
