Odkryto moduł oprogramowania układowego podpisanego przez Microsoft, aby ominąć bezpieczny rozruch, potencjalnie umożliwiając atakującym cicho wyłączenie tej krytycznej funkcji bezpieczeństwa na szerokiej gamie laptopów i serwerów systemu Windows. Ta podatność, ujawniona w czerwcu 2025 r., Stwarza poważne zagrożenie, pomimo wymagania administracyjnego i fizycznego dostępu do docelowej maszyny.
Podatność znajduje się w zunifikowanym interfejsie oprogramowania układowego (UEFI), standardu branżowego do inicjalizacji sprzętu podczas uruchamiania komputera. UEFI działa przed systemem operacyjnym, co czyni go głównym celem dla atakujących starających się zagrażać systemom przed załadowaniem obrony bezpieczeństwa na poziomie OS. Naukowcy coraz częściej koncentrują się na lukach UEFI, o czym świadczy wcześniejsze odkrycie poważnej wady bezpiecznego obwodnicy.
Binarly badacze zidentyfikowali wadliwy moduł na temat wirusa w listopadzie 2024 r. Moduł, podobno opracowany przez dostawcę specjalizującego się w surowych wyświetlaczach dla środowisk publicznych, takich jak lotniska, zawierał podatność śledzoną jako CVE-2025-3052. Ta podatność wynika z problemu uszkodzenia pamięci UEFI. Uzbrojony w certyfikat innych firm Microsoft, moduł może pozwolić atakującym zastąpienie zmiennej krytycznej używanej do egzekwowania bezpiecznego rozruchu, funkcji bezpieczeństwa UEFI zaprojektowanego w celu zapobiegania załadowaniu złośliwego oprogramowania na tym samym poziomie co system operacyjny.
Zespół badawczy Binarly odkrył, że moduł odczytuje zmienną UEFI `Ihisiparambuffer ‘i używa jej jako wskaźnika do operowania wielu pamięci bez kontroli sprawdzania sprawdzania poprawności lub zdrowia psychicznego. Ten brak sprawdzania poprawności pozwala atakującemu ustawić zmienną „Ihisiparambuffer” na dowolnym adresie w pamięci, co daje im dowolne możliwości zapisu pamięci.
Zmienna „ihisiparambuffer” jest przechowywana w nieulotnym pamięci RAM (NVRAM), która służy do przechowywania zmiennych, które muszą się utrzymywać między butami. Zmienne NVRAM historycznie były powtarzającym się źródłem luk w zabezpieczeniach. Publikacja WikiLeaks z 2017 roku szczegółowo opisała techniki penetracji CIA, ujawniając, że agencja ukierunkowała NVRAM w celu uzyskania kontroli nad uruchamianiem systemu.
Podczas gdy niektóre rozkłady UEFI są odporne na ten konkretny atak, ponieważ traktują zmienną „Ihisiparambuffer” jako tylko odczyt, Binarly stwierdził, że zdecydowana większość systemów jest potencjalnie zagrożona. Dalsze dochodzenie wykazało, że moduł mógł krążyć online od października 2022 r.
Udane wykorzystanie tej podatności może sprawić, że system operacyjny zachowywał się tak, jakby włączony był bezpieczny rozruch, nawet jeśli nie jest, tworząc zwodniczą postawę bezpieczeństwa. Po powiadomieniu przez Binarly Microsoft odkrył dodatkowe 13 modułów oprogramowania układowego o tej samej wadzie. W odpowiedzi Microsoft cofnął certyfikat wszystkich 14 modułów w ramach aktualizacji w czerwcu wtorek.
Prajet Nair, asystent redaktora ISMG, przyczynił się do tego raportu. Nair ma ponad dekadę doświadczenia w zakresie bezpieczeństwa cybernetycznego i rozwoju OT oraz pełnił funkcje redakcyjne w różnych organizacjach informacyjnych.
Podsumowując, odkrycie modułu oprogramowania układowego podpisanego przez Microsoft, który może ominąć bezpieczny rozruch, podkreśla trwające wyzwania w utrzymaniu integralności oprogramowania układowego UEFI. Podatność, CVE-2025-3052, pozwala na ciche wyłączenie bezpiecznego rozruchu poprzez wykorzystanie wady uszkodzenia pamięci. Chociaż atak wymaga dostępu administracyjnego i fizycznego, jego potencjalny wpływ na szeroki zakres systemów Windows jest znaczący. Odpowiedź Microsoftu, która obejmowała cofnięcie certyfikatów dla wszystkich dotkniętych modułów, jest kluczowym krokiem w łagodzeniu tego zagrożenia. Jednak incydent podkreśla potrzebę ciągłej czujności i solidnych środków bezpieczeństwa w ekosystemie oprogramowania układowego UEFI.
Podatność pozwala atakującym cicho wyłączyć bezpieczny rozruch, co jest krytyczną funkcją bezpieczeństwa zaprojektowaną w celu zapobiegania załadowaniu złośliwego oprogramowania podczas procesu rozruchu. Obejmowanie może wystąpić bez wiedzy użytkownika, powodując, że system operacyjny podatny na złośliwe oprogramowanie i inne zagrożenia.
Chociaż atak wymaga dostępu administratora i fizycznego dostępu do komputera docelowego, potencjalny wpływ jest znaczący. Atakujący z tymi uprawnieniami może wykorzystać podatność na instalację trwałego złośliwego oprogramowania lub narażać bezpieczeństwo systemu na inne sposoby.
Microsoft wydał łatkę w czerwcu 2025 r., Aby zająć się podatnością. Ta łatka uchyla certyfikaty modułów dotkniętych dotkniętymi, uniemożliwiając im użycie do ominięcia bezpiecznego rozruchu.
Podatność znajduje się w ujednoliconym interfejsie oprogramowania układowego (UEFI), który jest odpowiedzialny za inicjowanie sprzętu podczas procesu rozruchu. Podatności UEFI są szczególnie niepokojące, ponieważ można je wykorzystać przed rozpoczęciem systemu operacyjnego, co utrudnia ich wykrycie i zapobieganie.
Binarly badacze odkryli wadliwy moduł na temat wirusa w listopadzie 2024 r. To odkrycie podkreśla znaczenie inteligencji zagrożenia i roli platform takich jak wirus w identyfikacji potencjalnie złośliwego oprogramowania.
Moduł został opracowany przez dostawcę wytrzymałych wyświetlaczy, co sugeruje, że podatność może być obecna w szeregu urządzeń używanych w warunkach przemysłowych i publicznych. Podkreśla to potrzebę, aby bezpieczeństwo było priorytetem w całym łańcuchu dostaw.
Wada jest śledzona jako CVE-2025-3052 i wynika z podatności na uszkodzenie pamięci UEFI. Ten identyfikator CVE pozwala specjalistom ds. Bezpieczeństwa skutecznie śledzić i naprawić podatność.
Moduł, który został podpisany z certyfikatem Microsoft, pozwala atakującemu zastąpić zmienną kluczową dla bezpiecznego rozruchu. Ta zdolność do modyfikowania krytycznych ustawień systemu sprawia, że podatność jest tak niebezpieczna.
Moduł odczytuje zmienną UEFI `ihisiparambuffer ‘i używa jej jako wskaźnika do operowania zapisu pamięci bez sprawdzania poprawności. Ten brak walidacji jest podstawową przyczyną podatności na uszkodzenie pamięci.
Atakujący mogą ustawić zmienną „Ihisiparambuffer” na dowolnym adresie pamięci, umożliwiając im pisanie w dowolnym miejscu w pamięci. Ta arbitralna możliwość zapisu pamięci może być użyta do wyłączenia bezpiecznego rozruchu lub wykonywania innych złośliwych działań.
Niektóre rozkłady UEFI są odporne, ponieważ traktują zmienną „ihisiparambuffer” jako tylko odczytu. To pokazuje, że niektóre konfiguracje bezpieczeństwa mogą ograniczyć ryzyko tej podatności.
Moduł mógł rozpowszechniać się online od października 2022 r., Co wskazuje, że podatność jest obecna od znacznego czasu. Podkreśla to znaczenie regularnych aktualizacji bezpieczeństwa i skanowania wrażliwości.
System operacyjny może zachowywać się tak, jakby bezpieczne rozruch było włączone, nawet jeśli nie jest, utrudniając użytkownikom wykrycie kompromisu. To zwodnicze zachowanie może pozwolić atakującym na utrzymanie trwałości w systemie bez wykrycia.
Microsoft znalazł 13 dodatkowych modułów oprogramowania układowego o tej samej wadzie, podkreślając powszechny charakter podatności. Odkrycie to podkreśla potrzebę dokładnych audytów bezpieczeństwa oprogramowania układowego i innych oprogramowania niskiego poziomu.
Microsoft cofnął certyfikat wszystkich 14 modułów w czerwcowej aktualizacji wtorek. To odwołanie uniemożliwia stosowanie modułów do ominięcia bezpiecznego rozruchu, skutecznie ograniczając ryzyko podatności.
Odkrycie i naprawianie tej bezpiecznej podatności na obejście rozruchu podkreślają ciągłe wyzwania związane z zabezpieczeniem nowoczesnych systemów komputerowych. Podatności na oprogramowanie układowe są szczególnie niepokojące, ponieważ mogą być trudne do wykrycia i zapobiegania. Organizacje muszą priorytetowo traktować bezpieczeństwo w całym łańcuchu dostaw i wdrażać solidne środki bezpieczeństwa w celu ochrony przed tego rodzaju atakami. Regularne aktualizacje bezpieczeństwa, skanowanie podatności i inteligencja zagrożenia są niezbędne do ograniczenia ryzyka luk w oprogramowaniu układowym i utrzymania bezpiecznego środowiska obliczeniowego.
Incydent służy jako przypomnienie o znaczeniu bezpieczeństwa warstwowego i potrzeby rozwiązania problemów podatności na wszystkich poziomach systemu, od oprogramowania układowego po system operacyjny i aplikacje. Przyjmując kompleksowe podejście do bezpieczeństwa, organizacje mogą zmniejszyć ryzyko kompromisu i chronić swoje krytyczne aktywa.
Odkrycie tej podatności i odpowiedzi Microsoft podkreślają również znaczenie współpracy między badaczami bezpieczeństwa i dostawcami. Współpracując, mogą szybciej i skuteczniej identyfikować i naprawić luki w zabezpieczeniach, poprawiając ogólne bezpieczeństwo ekosystemu obliczeniowego.
Incydent rodzi również pytania dotyczące bezpieczeństwa certyfikatów stron trzecich i procesów używanych do ich potwierdzenia. Odnowienie Microsoft certyfikatów dla modułów dotkniętych dotkniętymi modułami jest koniecznym krokiem, ale podkreśla także potencjał nadużyć i potrzebę silniejszej kontroli nad emisją i zarządzaniem certyfikatami.
Source: Microsoft-podpisane oprogramowanie układowe omija bezpieczny rozruch w systemie Windows
