Уязвимость позволяет обойти UEFI Secure Boot, затронуты миллионы устройств
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Уязвимость позволяет обойти UEFI Secure Boot, затронуты миллионы устройств

Екатерина Быстрова 11 Июня 2025 - 09:54
...
Уязвимость позволяет обойти UEFI Secure Boot, затронуты миллионы устройств

Исследователи из BINARLY обнаружили новую серьёзную уязвимость в механизме UEFI Secure Boot — той самой системе, которая должна защищать компьютер ещё до загрузки ОС. Уязвимость получила идентификатор CVE-2025-3052 и высокий балл 8.2 по шкале CVSS.

Уязвимый компонент — это файл Dtbios-efi64-71.22.efi, который подписан Microsoft UEFI CA 2011. А значит, считается доверенным практически на всех современных компьютерах, будь то Windows или Linux.

BINARLY выяснили, что приложение неправильно работает с переменной NVRAM под названием IhisiParamBuffer. Это буфер, откуда модуль слепо выполняет множественные записи в память. А значит — злоумышленник может заранее положить туда нужный адрес, и модуль в момент загрузки выполнит запись по произвольному адресу в памяти.

В демонстрации PoC исследователи показали, как злоумышленник с правами администратора может подменить критический указатель на структуру gSecurity2, которая и отвечает за включённость Secure Boot. Если «обнулить» этот указатель в нужный момент — можно полностью отключить Secure Boot, а дальше — загрузить любой неподписанный модуль. Хоть буткит, хоть начальный вредонос.

Почему это опасно?

Самое тревожное — уязвимый бинарник подписан Microsoft и загружен в VirusTotal, а значит, уже гуляет по интернету. Более того, сертификат Microsoft UEFI CA 2011 доверяется подавляющим большинством систем, где активирован Secure Boot. Это делает атаку масштабируемой — потенциально затронуто миллионы устройств.

Однако многое зависит от конкретной реализации BIOS. Например, в прошивках от Insyde доступ к переменным NVRAM может быть ограничен — но даже это не спасает, если в системе найдётся другая брешь.

Как выразились в BINARLY:

«Эта уязвимость затрагивает все устройства, где выполняется исходное условие цикла и где доверяют сертификату Microsoft UEFI CA 2011».

BINARLY советует следующее:

  • Добавить хеш уязвимого модуля в UEFI-список отзыва (dbx), чтобы заблокировать его загрузку.
  • Удалить уязвимый код из приложения — чтобы прекратить любые небезопасные записи из переменных NVRAM.
  • Проверить защиту NVRAM в прошивке — особенно для переменных, влияющих на загрузку.
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

OpenAI предупреждает об утечке данных аккаунтов из-за подрядчика Mixpanel
Екатерина Быстрова 27 Ноября 2025 - 11:16
Утечки информацииУмышленные утечки информацииКража данных Домашние пользователиКорпорации
OpenAI предупреждает об утечке данных аккаунтов из-за подрядчика Mixpanel

Сотрудники и клиенты OpenAI начали получать письма, в которых утверждается, что аналитический сервис Mixpanel, который компания использовала на платформе для API (platform.openai.com), столкнулся с киберинцидентом. Как подчёркивает OpenAI, взлом произошёл не в её собственных системах — проблема возникла именно на стороне подрядчика.

По данным OpenAI, 9 ноября 2025 года Mixpanel обнаружил, что злоумышленник получил несанкционированный доступ к части внутренней инфраструктуры и выгрузил набор данных с идентификационной информацией пользователей.

25 ноября Mixpanel передал OpenAI копию затронутого массива, после чего компания начала рассылку уведомлений.

OpenAI уверяет, что никаких переписок, запросов к API, ключей, паролей, платёжных данных или документов пользователей злоумышленники не получили. Утечка затронула только «ограниченную аналитику», которая собиралась через браузер.

В набор попали:

  • имя, указанное в API-аккаунте;
  • адрес электронной почты;
  • примерная геолокация по браузеру (город, штат / регион, страна);
  • операционная система и браузер;
  • рефереры (сайты, откуда пользователь перешёл на платформу);
  • идентификаторы пользователя или организации в системе OpenAI.

После обнаружения проблемы OpenAI полностью отключила Mixpanel от продакшн-среды, проанализировала выгруженные данные и начала уведомлять всех затронутых администраторов и пользователей. Компания заявляет, что не видит признаков злоупотребления этими данными, но продолжает мониторинг.

В письме подчёркивается, что такие сведения могут быть использованы в фишинговых атаках или схемах социальной инженерии. Пользователям рекомендуют быть особенно внимательными к письмам, якобы пришедшим от OpenAI, и действовать только через официальные домены. Компания напоминает, что она никогда не запрашивает пароли, API-ключи или коды подтверждения через почту или мессенджеры.

OpenAI также объявила, что прекращает использовать Mixpanel и начинает пересматривать безопасности всех внешних подрядчиков, ужесточая требования по защите данных.

Пользователям предложено обратиться по вопросам к команде поддержки или на специальный адрес mixpanelincident@openai.com.

Напомним, OpenAI направила в суд свой первый развернутый ответ по одному из пяти исков о суициде пользователей, заявив, что 16-летний Адам Рейн нарушил правила использования ChatGPT и что его трагедия не была вызвана работой чат-бота.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
МВД предупреждает о новом сценарии атак на студентов
Новость
МВД предупреждает о новом сценарии атак на студентов
Опубликована программа конференции «Совершенно безопасно 3.0: Точка опоры»
Новость
Опубликована программа конференции «Совершенно безопасно 3.0...
В Android-приложении ChatGPT появятся личные и групповые чаты
Новость
В Android-приложении ChatGPT появятся личные и групповые чат...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.