Исследователи из компании Binarly рассказали об опасной уязвимости в механизме безопасной загрузки (Secure Boot). Она позволяла злоумышленникам отключать защиту и запускать вредоносный код до загрузки операционной системы.
Проблема с идентификатором CVE-2025-3052 была связана с подписанным UEFI-модулем, используемым для обновления BIOS. Она затрагивала модуль, изначально разработанный для защищённых устройств DT Research, но подписанный доверенным сертификатом Microsoft UEFI CA 2011.
Поскольку этот сертификат используется в большинстве современных систем, включая загрузчик Linux shim, то уязвимый код может выполняться на огромном количестве компьютеров.
Проблема возникала из-за некорректной обработки переменной NVRAM с именем IhisiParamBuffer. Модуль использовал её содержимое как указатель памяти без проверки, а хакер мог получить контроль над памятью и полностью отключить протокол Secure Boot, чтобы внедрить вредоносные программы, модифицирующие загрузочный сектор. Буткиты работают на уровне прошивки и избегают обнаружения антивирусами и системами мониторинга.
Уязвимость затронула как минимум 14 проблемных компонентов. Microsoft уже выпустила исправление в рамках июньского обновления Patch Tuesday. Оно включает обновлённый список отзыва (dbx), блокирующий выполнение опасных модулей.
Специалисты рекомендуют установить это обновление Windows.
В 2024 году в коде прошивки 806 моделей материнских плат производства Acer, Dell, Fujitsu, Gigabyte, HP, Intel, Lenovo и Supermicro экспертами из Binarly был обнаружен тестовый ключ, позволяющий обойти защитную систему UEFI Secure Boot. Проблема получила кодовое название PKfail и была связана с использованием в прошивках матплат не заслуживающего доверия ключа платформы (PK, Platform Key), сгенерированного компанией AMI (American Megatrends International) и поставляемого в качестве тестового примера.
Источник: habr.com