Een Microsoft-ondertekende firmwaremodule is ontdekt om Secure Boot te omzeilen, waardoor aanvallers mogelijk deze kritieke beveiligingsfunctie op een breed scala aan Windows-laptops en servers kunnen uitschakelen. Deze kwetsbaarheid, bekendgemaakt in juni 2025, vormt een belangrijke bedreiging ondanks het vereisen van administratieve en fysieke toegang tot de beoogde machine.
De kwetsbaarheid bevindt zich in de Unified Extensible Firmware Interface (UEFI), de industriestandaard voor hardware -initialisatie tijdens het opstarten van de computer. UEFI werkt vóór het besturingssysteem, waardoor het een belangrijk doelwit is voor aanvallers die systemen willen compromitteren voordat beveiligingsverdedigingen op OS-niveau worden geladen. Onderzoekers hebben zich in toenemende mate gericht op UEFI -kwetsbaarheden, zoals aangetoond door een eerdere ontdekking van een ernstige veilige laarsbypassfout.
Binarly onderzoekers identificeerden de gebrekkige module over het virustotaal in november 2024. De module, naar verluidt ontwikkeld door een leverancier die gespecialiseerd is in ruige displays voor openbare omgevingen zoals luchthavens, bevatten een kwetsbaarheid die werd gevolgd als CVE-2025-3052. Deze kwetsbaarheid komt voort uit een UEFI -geheugencorruptieprobleem. Gewapend met een Microsoft-certificaat van derden, kan de module aanvallers in staat stellen een kritieke variabele te overschrijven die wordt gebruikt om Secure Boot te handhaven, een UEFI-beveiligingsfunctie die is ontworpen om te voorkomen dat kwaadaardige software op hetzelfde niveau laadt als het besturingssysteem.
Het binarly -onderzoeksteam ontdekte dat de module de UEFI `ihisiparambuffer` variabele leest en gebruikt als een aanwijzer voor schrijfbewerkingen met meerdere geheugen zonder validatie- of gezond verstandcontroles. Dit gebrek aan validatie stelt een aanvaller in staat om de variabele `ihisiparambuffer` op een willekeurig adres in het geheugen in te stellen, waardoor ze willekeurige schrijfmogelijkheden worden toegekend.
De variabele `ihisiparambuffer` wordt opgeslagen in niet-vluchtige RAM (NVRAM), die wordt gebruikt om variabelen op te slaan die moeten blijven bestaan tussen laarzen. NVRAM -variabelen zijn van oudsher een terugkerende bron van beveiligingskwetsbaarheden geweest. Een WikiLeaks -publicatie uit 2017 gedetailleerde CIA -penetratietechnieken, waaruit bleek dat het bureau NVRAM heeft gericht om controle te krijgen over het opstarten van het systeem.
Hoewel sommige UEFI-distributies immuun zijn voor deze specifieke aanval omdat ze de variabele `ihisiparAmbuffer` alleen als lezen behandelen, verklaarde Binarly dat de overgrote meerderheid van de systemen mogelijk risico loopt. Verder onderzoek toonde aan dat de module sinds oktober 2022 mogelijk online circuleert.
Een succesvolle exploit van deze kwetsbaarheid kan het besturingssysteem gedragen alsof de veilige opstart is ingeschakeld, zelfs als dat niet het geval is, het creëren van een misleidende beveiligingshouding. Toen hij Binarly werd op de hoogte gebracht, ontdekte Microsoft nog eens 13 firmwaremodules met dezelfde fout. In reactie daarop heeft Microsoft het certificaat voor alle 14 modules ingetrokken als onderdeel van de Patch Tuesday Update in juni.
Prajeet Nair, assistent -editor bij ISMG, heeft bijgedragen aan dit rapport. Nair heeft meer dan een decennium ervaring met het dekken van cybersecurity en OT -ontwikkelingen en heeft redactionele rollen gevoerd bij verschillende nieuwsorganisaties.
Samenvattend benadrukt de ontdekking van een Microsoft-ondertekende firmwaremodule om Secure Boot te omzeilen de voortdurende uitdagingen bij het handhaven van de integriteit van de UEFI-firmware. De kwetsbaarheid, CVE-2025-3052, zorgt voor de stille uitschakelen van veilige opstart door een geheugencorruptiefout te exploiteren. Hoewel de aanval administratieve en fysieke toegang vereist, is de potentiële impact ervan op een breed scala aan Windows -systemen aanzienlijk. De reactie van Microsoft, waaronder het intrekken van de certificaten voor alle getroffen modules, is een cruciale stap in het verminderen van deze dreiging. Het incident onderstreept echter de noodzaak van continue waakzaamheid en robuuste beveiligingsmaatregelen in het UEFI -firmware -ecosysteem.
De kwetsbaarheid stelt aanvallers in staat om zwijgend Secure Boot uit te schakelen, een kritieke beveiligingsfunctie die is ontworpen om te voorkomen dat kwaadwillende software tijdens het opstartproces wordt geladen. Deze bypass kan optreden zonder de kennis van de gebruiker, waardoor het besturingssysteem kwetsbaar is voor malware en andere bedreigingen.
Hoewel de aanval admin -toegang en fysieke toegang tot de doelmachine vereist, is de potentiële impact aanzienlijk. Een aanvaller met deze privileges zou de kwetsbaarheid kunnen benutten om persistente malware te installeren of de beveiliging van het systeem op andere manieren in gevaar te brengen.
Microsoft heeft in juni 2025 een patch uitgegeven om de kwetsbaarheid aan te pakken. Deze patch haalt de certificaten voor de getroffen modules in, waardoor ze worden gebruikt om te worden gebruikt om de beveiligde opstart te omzeilen.
De kwetsbaarheid bevindt zich in de Unified Extensible Firmware Interface (UEFI), die verantwoordelijk is voor het initialiseren van hardware tijdens het opstartproces. UEFI -kwetsbaarheden zijn bijzonder zorgwekkend omdat ze kunnen worden benut voordat het besturingssysteem zelfs begint, waardoor ze moeilijk te detecteren en te voorkomen zijn.
Binarly onderzoekers ontdekten de gebrekkige module over het virustotaal in november 2024. Deze ontdekking benadrukt het belang van bedreigingsinformatie en de rol van platforms zoals virus totaal bij het identificeren van potentieel kwaadaardige software.
De module is ontwikkeld door een leverancier van robuuste displays, wat suggereert dat de kwetsbaarheid aanwezig kan zijn in verschillende apparaten die worden gebruikt in industriële en openbare omgevingen. Dit onderstreept de noodzaak voor beveiliging om een prioriteit te zijn in de supply chain.
De fout wordt gevolgd als CVE-2025-3052 en komt voort uit een UEFI-kwetsbaarheid van geheugencorruptie. Met deze CVE -ID kan beveiligingsprofessionals de kwetsbaarheid effectief volgen en verhelpen.
De module, die is ondertekend met een Microsoft -certificaat, stelt een aanvaller in staat om een sleutelvariabele te overschrijven voor Secure Boot. Dit vermogen om kritieke systeeminstellingen te wijzigen, maakt de kwetsbaarheid zo gevaarlijk.
De module leest de UEFI `ihisiparAmbuffer’ -variabele en gebruikt deze als een aanwijzer voor geheugenwriting bewerkingen zonder validatie. Dit gebrek aan validatie is de hoofdoorzaak van de kwetsbaarheid van het geheugencorruptie.
Aanvallers kunnen de variabele `ihisiparambuffer` instellen op een willekeurig geheugenadres, waardoor ze naar elke locatie in het geheugen kunnen schrijven. Dit willekeurige schrijfmogelijkheden kan worden gebruikt om Secure Boot uit te schakelen of andere kwaadaardige acties uit te voeren.
Sommige UEFI-distributies zijn immuun omdat ze de variabele `ihisiparambuffer’ als alleen-lezen behandelen. Dit toont aan dat bepaalde beveiligingsconfiguraties het risico van deze kwetsbaarheid kunnen verminderen.
De module is mogelijk sinds oktober 2022 online verspreid, wat aangeeft dat de kwetsbaarheid al een aanzienlijke hoeveelheid tijd aanwezig is. Dit onderstreept het belang van regelmatige beveiligingsupdates en het scannen van kwetsbaarheid.
Het besturingssysteem kan zich gedragen alsof de beveiligde opstart is ingeschakeld, zelfs wanneer dit niet het geval is, waardoor het voor gebruikers moeilijk is om het compromis te detecteren. Dit misleidende gedrag kan aanvallers in staat stellen om door persistentie op het systeem te handhaven zonder te worden gedetecteerd.
Microsoft vond 13 extra firmwaremodules met dezelfde fout, wat de wijdverbreide aard van de kwetsbaarheid benadrukte. Deze ontdekking onderstreept de behoefte aan grondige beveiligingsaudits van firmware en andere software op laag niveau.
Microsoft heeft het certificaat voor alle 14 modules ingetrokken in de Patch Tuesday Update in juni. Deze intrekking voorkomt dat de modules worden gebruikt om een beveiligde opstart te omzeilen, waardoor het risico op de kwetsbaarheid effectief wordt beperkt.
De ontdekking en sanering van deze beveiligde kwetsbaarheid van het opstartbypass benadrukken de voortdurende uitdagingen bij het beveiligen van moderne computersystemen. Firmware -kwetsbaarheden zijn met name zorgwekkend omdat ze moeilijk te detecteren en te voorkomen kunnen zijn. Organisaties moeten prioriteit geven aan beveiliging in de supply chain en robuuste beveiligingsmaatregelen implementeren om te beschermen tegen dit soort aanvallen. Regelmatige beveiligingsupdates, kwetsbaarheidsscanning en dreigingsinformatie zijn essentieel voor het verminderen van het risico van firmware -kwetsbaarheden en het handhaven van een veilige computeromgeving.
Het incident dient als herinnering aan het belang van gelaagde beveiliging en de noodzaak om kwetsbaarheden op alle niveaus van het systeem aan te pakken, van de firmware tot het besturingssysteem en de toepassingen. Door een uitgebreide benadering van beveiliging te volgen, kunnen organisaties hun risico op compromis verminderen en hun kritische activa beschermen.
De ontdekking van deze kwetsbaarheid en de reactie van Microsoft onderstreept ook het belang van samenwerking tussen beveiligingsonderzoekers en leveranciers. Door samen te werken, kunnen ze kwetsbaarheden sneller en effectief identificeren en verhelpen, waardoor de algehele beveiliging van het computerecosysteem wordt verbeterd.
Het incident roept ook vragen op over de beveiliging van derdencertificaten en de processen die worden gebruikt om ze te valideren. Microsoft’s intrekking van de certificaten voor de getroffen modules is een noodzakelijke stap, maar het benadrukt ook het potentieel voor misbruik en de noodzaak van sterkere controles over de uitgifte en het beheer van certificaten.
Source: Microsoft ondertekende firmware omzeilt Secure Boot op Windows
