Уязвимость позволяет обойти UEFI Secure Boot, затронуты миллионы устройств

Уязвимость позволяет обойти UEFI Secure Boot, затронуты миллионы устройств

Уязвимость позволяет обойти UEFI Secure Boot, затронуты миллионы устройств

Исследователи из BINARLY обнаружили новую серьёзную уязвимость в механизме UEFI Secure Boot — той самой системе, которая должна защищать компьютер ещё до загрузки ОС. Уязвимость получила идентификатор CVE-2025-3052 и высокий балл 8.2 по шкале CVSS.

Уязвимый компонент — это файл Dtbios-efi64-71.22.efi, который подписан Microsoft UEFI CA 2011. А значит, считается доверенным практически на всех современных компьютерах, будь то Windows или Linux.

BINARLY выяснили, что приложение неправильно работает с переменной NVRAM под названием IhisiParamBuffer. Это буфер, откуда модуль слепо выполняет множественные записи в память. А значит — злоумышленник может заранее положить туда нужный адрес, и модуль в момент загрузки выполнит запись по произвольному адресу в памяти.

В демонстрации PoC исследователи показали, как злоумышленник с правами администратора может подменить критический указатель на структуру gSecurity2, которая и отвечает за включённость Secure Boot. Если «обнулить» этот указатель в нужный момент — можно полностью отключить Secure Boot, а дальше — загрузить любой неподписанный модуль. Хоть буткит, хоть начальный вредонос.

Почему это опасно?

Самое тревожное — уязвимый бинарник подписан Microsoft и загружен в VirusTotal, а значит, уже гуляет по интернету. Более того, сертификат Microsoft UEFI CA 2011 доверяется подавляющим большинством систем, где активирован Secure Boot. Это делает атаку масштабируемой — потенциально затронуто миллионы устройств.

Однако многое зависит от конкретной реализации BIOS. Например, в прошивках от Insyde доступ к переменным NVRAM может быть ограничен — но даже это не спасает, если в системе найдётся другая брешь.

Как выразились в BINARLY:

«Эта уязвимость затрагивает все устройства, где выполняется исходное условие цикла и где доверяют сертификату Microsoft UEFI CA 2011».

BINARLY советует следующее:

  • Добавить хеш уязвимого модуля в UEFI-список отзыва (dbx), чтобы заблокировать его загрузку.
  • Удалить уязвимый код из приложения — чтобы прекратить любые небезопасные записи из переменных NVRAM.
  • Проверить защиту NVRAM в прошивке — особенно для переменных, влияющих на загрузку.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

98% безопасников уверены: уровень защищённости их компаний нужно усиливать

«Лаборатория Касперского» провела опрос среди 850 специалистов по кибербезопасности по всему миру — в том числе в России — и выяснила: почти все довольны тем, как сейчас выстроена защита в их компаниях, но считают, что всегда есть, куда расти. 94% респондентов заявили, что в целом довольны уровнем ИБ, но 76% хотят внести небольшие улучшения, а 22% считают, что нужны серьёзные перемены.

Самыми слабыми местами в ИБ-архитектуре участники опроса назвали ручные процессы и «заплаточный» подход к безопасности. 30% тратят слишком много времени на рутину, 29% жалуются, что приходится закрывать уже известные дыры, вместо того чтобы работать на упреждение.

У четверти компаний не хватает специалистов, а 23% сталкиваются с проблемой «зоопарка» защитных решений — много разных инструментов, которыми сложно управлять.

Из-за этого возрастает нагрузка, замедляется реагирование на инциденты и возрастает риск конфигурационных ошибок. Другие слабые места, по мнению опрошенных: потенциальные уязвимости в периметре (22%), сложные ИТ-системы (21%), нехватка актуальной информации о киберугрозах (20%), избыточные уведомления от систем безопасности (18%) и нехватка нужных функций в уже имеющихся решениях (17%).

Все это говорит о потребности в более «умных» и комплексных инструментах защиты. И всё больше компаний понимают: одного антивируса и файрвола давно недостаточно.

Нужен подход, при котором безопасность вшивается в архитектуру изначально — ещё на этапе разработки. Такой подход помогает защитить ключевые активы даже в случае взлома и без гигантских затрат.

Как отмечают в «Лаборатории Касперского», сейчас всё чаще речь идёт не просто о технологиях, а о стратегии. Нужно заранее знать, откуда ждать удар, правильно настраивать процессы, применять лучшие практики и интегрировать решения, которые работают вместе, а не мешают друг другу. Такой подход помогает и защиту усилить, и доверие клиентов сохранить.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru