Duty-Free.cc
Новости

Secure Boot включён, ГОСТ соблюдён — но UEFI уже под контролем трояна

Duty News 0 11.06.2025

Microsoft подписала смертный приговор безопасности — и даже не заметила

Практически все современные компьютеры с включённой функцией Secure Boot оказались под угрозой из-за критической уязвимости CVE-2025-3052. Она позволяет полностью отключить безопасную загрузку и внедрять вредоносный код ещё до старта операционной системы. Уязвимость обнаружил Алексей Матросов из компании Binarly при анализе подписанной Microsoft BIOS-утилиты для обновления прошивки защищённых планшетов.

Проблема связана с корневым сертификатом Microsoft UEFI CA 2011, которому доверяют почти все устройства с UEFI и Secure Boot. Хотя утилита предназначалась для определённых устройств, благодаря подписи Microsoft она запускалась на любом современном оборудовании, открывая путь для атак.

По данным Binarly, уязвимый компонент активно использовался хакерами с конца 2022 года. Один из его экземпляров был загружен на VirusTotal в 2024 году, что помог обнаружить проблему. О ней сообщили в CERT/CC 26 февраля 2025 года. Исправление вышло 11 июня в составе июньского обновления Microsoft.

Позже выяснилось, что уязвимы не один, а сразу 14 модулей, которые добавили в базу отзыва сертификатов Secure Boot (dbx), обновлённую одновременно с июньским патчем.

Уязвимость позволяет атакующему с правами администратора модифицировать переменную IhisiParamBuffer в энергонезависимой памяти (NVRAM), меняя поведение UEFI до загрузки ОС. Binarly разработала эксплойт, который обнуляет переменную gSecurity2, полностью отключая Secure Boot.

Без Secure Boot система перестаёт проверять цифровые подписи, что позволяет запускать любые неподписанные UEFI-компоненты, включая буткиты, работающие вне досягаемости антивирусов и операционной системы. Злоумышленники получают полный контроль над устройством и могут отключать остальные защитные механизмы.

Microsoft выпустила обновлённый dbx-файл, который необходимо срочно установить на все уязвимые системы — как пользовательские ПК, так и серверы с поддержкой UEFI.

Binarly также опубликовала видео, демонстрирующее работу PoC-эксплойта, отключающего Secure Boot ещё до загрузки ОС.

В тот же день стало известно о второй уязвимости Secure Boot — CVE-2025-4275 (Hydroph0bia), обнаруженной Николаем Шлеем в прошивках Insyde H2O. Проблему устранили через 90 дней после уведомления.