Был обнаружен модуль прошивки, подписанного на Microsoft, для обхода безопасной загрузки, что может позволить злоумышленникам молча отключить эту критическую функцию безопасности на широком диапазоне ноутбуков и серверов Windows. Эта уязвимость, раскрытая в июне 2025 года, представляет значительную угрозу, несмотря на то, что требует административного и физического доступа к целевой машине.
Уязвимость находится в унифицированном расширенном интерфейсе прошивки (UEFI), отраслевом стандарте для инициализации аппаратного обеспечения во время запуска компьютера. UEFI работает перед операционной системой, что делает его главной целью для злоумышленников, стремящихся к компромиссу системы до загрузки безопасности на уровне ОС. Исследователи все чаще сосредоточены на уязвимости UEFI, о чем свидетельствуют предыдущее обнаружение серьезного недостатка безопасного байпаса.
Исследователи Binarly определили некорректный модуль на общей сумме вирусов в ноябре 2024 года. Модуль, по сообщениям, разработанный поставщиком, специализирующимся на прочных дисплеях для общественных сред, таких как аэропорты, содержал уязвимость, отслеживаемую как CVE-2025-3052. Эта уязвимость проистекает из проблемы коррупции памяти UEFI. Вооруженный сертификатом стороннего Microsoft, модуль может позволить злоумышленникам перезаписать критическую переменную, используемую для обеспечения Secure Boot, функции безопасности UEFI, предназначенной для предотвращения загрузки вредоносного программного обеспечения на том же уровне, что и операционная система.
Исследовательская группа Binarly обнаружила, что модуль считывает переменную UEFI `ihisiparambuffer ‘и использует ее в качестве указателя для нескольких операций записи памяти без каких -либо проверок или проверки здравомыслия. Отсутствие проверки позволяет злоумышленнику установить переменную `ihisiparambuffer` на произвольный адрес в памяти, предоставляя им произвольную возможность записи памяти.
Переменная `ihisiparambuffer` хранится в нелетучих ОЗУ (NVRAM), которая используется для хранения переменных, которые необходимо сохранять между ботинками. Переменные NVRAM исторически были повторяющимся источником уязвимостей безопасности. В публикации WikiLeaks в 2017 году подробные методы проникновения ЦРУ показали, что агентство нацелено на NVRAM, чтобы получить контроль над загрузкой системы.
В то время как некоторые распределения UEFI невосприимчивы к этой конкретной атаке, потому что они рассматривают переменную «ihisiparambuffer» как только для чтения, бинарли заявили, что подавляющее большинство систем потенциально подвержены риску. Дальнейшее расследование показало, что модуль, возможно, распространялся онлайн с октября 2022 года.
Успешное использование этой уязвимости может привести к тому, что операционная система ведет себя так, как будто безопасная загрузка включена, даже если это не так, создавая обманчивую осанку безопасности. После уведомления Binarly Microsoft обнаружила дополнительные 13 модулей прошивки с таким же недостатком. В ответ Microsoft отменила сертификат для всех 14 модулей в рамках своего обновления в июньском патче во вторник.
Prajeet Nair, помощник редактора ISMG, внес свой вклад в этот отчет. Наир имеет более чем десятилетие опыта, охватывающего кибербезопасность и развитие OT, и выполняет редакционные должности в различных новостных организациях.
Таким образом, обнаружение модуля прошивки, подписанного на Microsoft, способного обойти безопасную загрузку, выделяет текущие проблемы при поддержании целостности прошивки UEFI. Уязвимость, CVE-2025-3052, позволяет молчаливой отключении безопасной загрузки, используя недостаток повреждения памяти. Хотя атака требует административного и физического доступа, ее потенциальное влияние на широкий спектр систем Windows является значительным. Ответ Microsoft, который включал в себя отзыв сертификатов для всех затронутых модулей, является важным шагом в смягчении этой угрозы. Тем не менее, инцидент подчеркивает необходимость постоянной бдительности и надежных мер безопасности в экосистеме прошивки UEFI.
Уязвимость позволяет злоумышленникам молча отключить безопасную загрузку, критическую функцию безопасности, предназначенную для предотвращения загрузки вредоносного программного обеспечения во время процесса загрузки. Этот обход может происходить без знаний пользователя, оставляя операционную систему уязвимой для вредоносных программ и других угроз.
Хотя атака требует доступа администратора и физического доступа к целевой машине, потенциальное воздействие является значительным. Злоумышленник с этими привилегиями может использовать уязвимость для установки постоянных вредоносных программ или поставить под угрозу безопасность системы другими способами.
Microsoft выпустила патч в июне 2025 года для решения уязвимости. Этот патч отображает сертификаты для затронутых модулей, не позволяя им использовать их для обхода безопасной загрузки.
Уязвимость расположена в унифицированном расширенном интерфейсе прошивки (UEFI), который отвечает за инициализацию оборудования во время процесса загрузки. Уязвимости UEFI особенно связаны с тем, что они могут быть использованы до того, как операционная система даже начнет, что затрудняет их обнаружение и предотвращение.
Исследователи Binarly обнаружили некорректный модуль об общей сумме вирусов в ноябре 2024 года. Это открытие подчеркивает важность интеллекта угроз и роль платформ, таких как общая сумма вирусов в выявлении потенциально злонамеренного программного обеспечения.
Модуль был разработан поставщиком прочных дисплеев, предполагая, что уязвимость может присутствовать в ряде устройств, используемых в промышленных и общественных условиях. Это подчеркивает необходимость обеспечения безопасности, чтобы быть приоритетом во всей цепочке поставок.
Недостаток отслеживается как CVE-2025-3052 и связан с уязвимостью коррупции в памяти UEFI. Этот идентификатор CVE позволяет специалистам безопасности эффективно отслеживать и исправлять уязвимость.
Модуль, который был подписан с сертификатом Microsoft, позволяет злоумышленнику перезаписать переменную ключа для безопасной загрузки. Эта способность изменять критические настройки системы делает уязвимость такой опасной.
Модуль считывает переменную UEFI `ihisiparambuffer` и использует ее в качестве указателя для операций записи памяти без проверки. Отсутствие проверки является основной причиной уязвимости коррупции памяти.
Злоумышленники могут установить переменную `ihisiparambuffer` на произвольный адрес памяти, что позволяет им записать в любое место в памяти. Эта произвольная возможность записи памяти может использоваться для отключения безопасной загрузки или выполнения других вредоносных действий.
Некоторые распределения UEFI невосприимчивы, потому что они рассматривают переменную `ihisiparambuffer ‘как только для чтения. Это демонстрирует, что определенные конфигурации безопасности могут снизить риск этой уязвимости.
Модуль, возможно, распространялся онлайн с октября 2022 года, что указывает на то, что уязвимость присутствовала в течение значительного времени. Это подчеркивает важность регулярных обновлений безопасности и сканирования уязвимости.
Операционная система может вести себя так, как будто безопасная загрузка включена, даже если это не так, затрудняя пользователям обнаружить компромисс. Это обманчивое поведение может позволить злоумышленникам сохранять настойчивость в системе без обнаружения.
Microsoft нашла 13 дополнительных модулей прошивки с тем же недостатком, подчеркивая широко распространенный характер уязвимости. Это открытие подчеркивает необходимость тщательного аудита безопасности прошивки и другого низкого уровня программного обеспечения.
Microsoft отменила сертификат для всех 14 модулей в июньском обновлении во вторник. Этот отзыв предотвращает использование модулей для обхода безопасной загрузки, эффективно снижая риск уязвимости.
Обнаружение и восстановление этой уязвимости Secure Boot Swypass подчеркивают текущие проблемы при защите современных компьютерных систем. Уязвимости прошивки особенно связаны с тем, что их может быть трудно обнаружить и предотвратить. Организации должны расставлять приоритеты в области безопасности во всей цепочке поставок и реализовать надежные меры безопасности для защиты от этих типов атак. Регулярные обновления безопасности, сканирование уязвимости и интеллект угроз необходимы для снижения риска уязвимостей прошивки и поддержания безопасной вычислительной среды.
Инцидент служит напоминанием о важности многоуровневой безопасности и необходимости устранения уязвимостей на всех уровнях системы, от прошивки до операционной системы и приложений. Принимая комплексный подход к безопасности, организации могут снизить риск компромисса и защитить свои критические активы.
Обнаружение этой уязвимости и ответа Microsoft также подчеркивают важность сотрудничества между исследователями безопасности и поставщиками. Работая вместе, они могут идентифицировать и исправлять уязвимости быстрее и эффективно, улучшая общую безопасность вычислительной экосистемы.
Инцидент также поднимает вопросы о безопасности сторонних сертификатов и процессов, используемых для их проверки. Отзыв Microsoft сертификатов для затронутых модулей является необходимым шагом, но также подчеркивает потенциал для злоупотреблений и необходимость более сильных контролей в отношении выпуска и управления сертификатами.
