Уязвимост във фърмуера на UEFI компрометира Secure Boot в Windows, налична е актуализация
Изследователи от Binarly са разкрили рискова накърнимост в механизма Secure Boot, която разрешава на атакуващите да деактивират отбраната и да започват злотворен код преди зареждането на операционната система. Проблемът, разпознат като CVE-2025-3052, е обвързван с подписан UEFI модул, употребен за актуализации на BIOS.
Уязвимостта визира модул, който в началото е създаден за предпазени устройства DT Research, само че е подписан с приближен документ Microsoft UEFI CA 2011. Тъй като този документ се употребява в множеството модерни системи, в това число в зареждащия модул Linux shim (малък, само че значим съставен елемент на процеса на зареждане), уязвимият код може да бъде изпълнен на голям брой компютри.
Проблемът поражда заради неправилна обработка на променливата NVRAM с име IhisiParamBuffer. Модулът употребява наличието ѝ като неизпитан справочник в паметта, което разрешава на атакуващия да получи надзор над паметта и да деактивира изцяло протокола Secure Boot. Това открива пътя за скрити офанзиви с bootkits (зловреден програмен продукт, който модифицира boot сектора), които работят на равнище фърмуер и остават невидими за антивирусните и системите за мониторинг.
По данни на Binarly уязвимостта визира освен един модул. Microsoft е идентифицирала най-малко 14 проблематични съставния елемент в границите на взаимно следствие. Въпреки това ситуацията не е толкоз неприятно, тъй като към този момент е пусната кръпка като част от юнската актуализация Patch Tuesday, която включва обновен лист за евакуиране (dbx), който блокира осъществяването на рисковите модули.
Експертите предлагат да се конфигурират най-новите актуализации на Windows, тъй като точно посредством тях се актуализира описът dbx. Без него хакер с административни права може да деактивира Secure Boot и да конфигурира злотворен програмен продукт, чието унищожаване ще изисква цялостно форматиране на диска и възобновяване на настройките на UEFI.
