Эксперты по кибербезопасности из компании Binarly выявили критическую уязвимость в механизме безопасной загрузки (Secure Boot) прошивки UEFI. Эта брешь позволяет злоумышленникам отключать встроенную защиту ПК и внедрять вредоносный код еще до старта операционной системы Windows или Linux. Проблема получила индекс CVE-2025-3052. Об этом сообщает издание HotHardware.
Корнем проблемы стал подписанный UEFI-модуль, изначально предназначенный для устройств DT Research, но заверенный доверенным сертификатом Microsoft UEFI CA 2011. Поскольку этот сертификат широко используется в современных компьютерных системах, включая загрузчик Linux shim, уязвимый код способен выполняться на подавляющем большинстве ПК.
Уязвимость кроется в некорректной обработке переменной NVRAM под названием IhisiParamBuffer. Недостаточная проверка ее содержимого позволяет атакующему получить полный контроль над памятью и, как следствие, полностью деактивировать протокол Secure Boot. Это открывает двери для скрытых буткитов – вредоносных программ, действующих на уровне прошивки и остающихся невидимыми для большинства антивирусных решений и систем мониторинга.
В ходе совместного исследования с Microsoft было установлено, что уязвимость затрагивает не один, а как минимум 14 различных компонентов. К счастью, решение уже существует: в рамках июньского обновления Patch Tuesday 2025 года Microsoft выпустила патч, который включает обновленный список отзыва (dbx), блокирующий выполнение этих опасных модулей.
Специалисты настоятельно рекомендуют незамедлительно установить последние обновления Windows, поскольку именно через них происходит актуализация списка dbx. Без этого, хакер, получивший административные права на системе, сможет обойти защиту Secure Boot и внедрить вредоносное программное обеспечение. Удаление такого ПО может потребовать полного форматирования диска и сброса параметров UEFI, что повлечет за собой потерю данных и необходимость переустановки системы.
