Secure Boot? Не очень-то и «secure» — ваш ПК предательски открывает хакерам дверь ещё до загрузки
NewsMakerMicrosoft подписала смертный приговор вашей безопасности — и даже не заметила.
Почти все современные компьютеры с включённой функцией Secure Boot оказались под угрозой из-за критической уязвимости CVE-2025-3052 , позволяющей полностью отключить защиту загрузки и внедрить вредоносный код ещё до старта операционной системы. Обнаружение принадлежит исследователю Алексею Матросову из компании Binarly, выявившему проблему после анализа подписанного Microsoft BIOS-утилиты, предназначенной для обновления прошивки на защищённых планшетах.
Ключевым фактором риска стала подпись Microsoft UEFI CA 2011 — этот корневой сертификат доверен практически на всех системах с UEFI и Secure Boot. Несмотря на то, что утилита создавалась для конкретных устройств, благодаря данной подписи она запускается на любом современном оборудовании, что и открывает ворота для атак.
Исследование показало, что уязвимый компонент активно циркулирует в дикой среде как минимум с конца 2022 года. Один из его экземпляров был загружен на VirusTotal в 2024 году, после чего его обнаружили специалисты Binarly. Первичное уведомление о проблеме было направлено в CERT/CC 26 февраля 2025 года, а исправление вошло в июньский пакет обновлений Microsoft 11 июня.
Однако масштабы оказались серьёзнее, чем предполагалось изначально. Вместо одного компонента, как считалось поначалу, уязвимыми оказались сразу 14 модулей. Все они теперь добавлены в базу отзыва сертификатов Secure Boot (dbx), которая обновилась в тот же день вместе с ежемесячным обновлением безопасности Microsoft.
Суть уязвимости — в механизме обращения BIOS-утилиты к переменной IhisiParamBuffer, записываемой в энергонезависимую память (NVRAM). Отсутствие проверки содержимого позволяет атакующему с правами администратора модифицировать поведение UEFI ещё до загрузки ядра или самой операционной системы. Binarly удалось создать рабочий эксплойт, обнуляющий переменную gSecurity2 — структуру, указывающую на протокол Security2, контролирующий механизм Secure Boot.
После отключения Secure Boot становится возможна загрузка любых неподписанных UEFI-модулей, в том числе загрузчиков вредоносного ПО — так называемых буткитов, которые функционируют на уровне, недосягаемом для антивирусов и операционной системы. Это даёт злоумышленникам полный контроль над устройством и возможность отключить другие механизмы защиты.
Для нейтрализации угрозы Microsoft распространила обновлённый dbx-файл, который должен быть немедленно установлен на всех уязвимых системах. Это касается как домашних ПК, так и серверных решений, использующих UEFI и доверяющих сертификату Microsoft UEFI CA 2011.
Binarly также опубликовала видео , демонстрирующее, как их PoC-эксплойт отключает Secure Boot и позволяет вставить произвольное сообщение, отображающееся ещё до запуска операционной системы.
Примечательно, что в этот же день стало известно и о другой уязвимости в системе Secure Boot. Она получила название Hydroph0bia и отслеживается под идентификатором CVE-2025-4275 . Её обнаружил Николай Шлей в прошивках на базе Insyde H2O. Ошибка также позволяла обойти Secure Boot и была закрыта спустя 90 дней после сообщения в компанию Insyde.
Почти все современные компьютеры с включённой функцией Secure Boot оказались под угрозой из-за критической уязвимости CVE-2025-3052 , позволяющей полностью отключить защиту загрузки и внедрить вредоносный код ещё до старта операционной системы. Обнаружение принадлежит исследователю Алексею Матросову из компании Binarly, выявившему проблему после анализа подписанного Microsoft BIOS-утилиты, предназначенной для обновления прошивки на защищённых планшетах.
Ключевым фактором риска стала подпись Microsoft UEFI CA 2011 — этот корневой сертификат доверен практически на всех системах с UEFI и Secure Boot. Несмотря на то, что утилита создавалась для конкретных устройств, благодаря данной подписи она запускается на любом современном оборудовании, что и открывает ворота для атак.
Исследование показало, что уязвимый компонент активно циркулирует в дикой среде как минимум с конца 2022 года. Один из его экземпляров был загружен на VirusTotal в 2024 году, после чего его обнаружили специалисты Binarly. Первичное уведомление о проблеме было направлено в CERT/CC 26 февраля 2025 года, а исправление вошло в июньский пакет обновлений Microsoft 11 июня.
Однако масштабы оказались серьёзнее, чем предполагалось изначально. Вместо одного компонента, как считалось поначалу, уязвимыми оказались сразу 14 модулей. Все они теперь добавлены в базу отзыва сертификатов Secure Boot (dbx), которая обновилась в тот же день вместе с ежемесячным обновлением безопасности Microsoft.
Суть уязвимости — в механизме обращения BIOS-утилиты к переменной IhisiParamBuffer, записываемой в энергонезависимую память (NVRAM). Отсутствие проверки содержимого позволяет атакующему с правами администратора модифицировать поведение UEFI ещё до загрузки ядра или самой операционной системы. Binarly удалось создать рабочий эксплойт, обнуляющий переменную gSecurity2 — структуру, указывающую на протокол Security2, контролирующий механизм Secure Boot.
После отключения Secure Boot становится возможна загрузка любых неподписанных UEFI-модулей, в том числе загрузчиков вредоносного ПО — так называемых буткитов, которые функционируют на уровне, недосягаемом для антивирусов и операционной системы. Это даёт злоумышленникам полный контроль над устройством и возможность отключить другие механизмы защиты.
Для нейтрализации угрозы Microsoft распространила обновлённый dbx-файл, который должен быть немедленно установлен на всех уязвимых системах. Это касается как домашних ПК, так и серверных решений, использующих UEFI и доверяющих сертификату Microsoft UEFI CA 2011.
Binarly также опубликовала видео , демонстрирующее, как их PoC-эксплойт отключает Secure Boot и позволяет вставить произвольное сообщение, отображающееся ещё до запуска операционной системы.
Примечательно, что в этот же день стало известно и о другой уязвимости в системе Secure Boot. Она получила название Hydroph0bia и отслеживается под идентификатором CVE-2025-4275 . Её обнаружил Николай Шлей в прошивках на базе Insyde H2O. Ошибка также позволяла обойти Secure Boot и была закрыта спустя 90 дней после сообщения в компанию Insyde.