Эксперты по кибербезопасности из компании Binarly выявили критическую уязвимость в механизме безопасной загрузки (Secure Boot) прошивки UEFI. Эта брешь позволяет злоумышленникам отключать встроенную защиту ПК и внедрять вредоносный код еще до старта операционной системы Windows или Linux. Проблема получила индекс CVE-2025-3052. Об этом сообщает издание HotHardware.
Корнем проблемы стал подписанный UEFI-модуль, изначально предназначенный для устройств DT Research, но удостоверенный доверенным сертификатом Microsoft UEFI CA 2011. Поскольку этот сертификат широко используется в современных компьютерных системах, включая загрузчик Linux shim, уязвимый код способен исполняться на подавляющем большинстве ПК.
Уязвимость кроется в некорректной обработке переменной NVRAM под названием IhisiParamBuffer. Недостаточная проверка ее содержимого позволяет атакующему получить полный контроль над памятью и, как следствие, полностью деактивировать протокол Secure Boot. Это открывает двери для скрытых буткитов – вредоносных программ, действующих на уровне прошивки и остающихся невидимыми для большинства антивирусных решений и систем отслеживания.
Во время совместного исследования с Microsoft было установлено, что уязвимость затрагивает не один, а как минимум 14 различных компонентов. К счастью, решение уже существует: в рамках июньского обновления Patch Tuesday 2025 года Microsoft выпустила патч, который включает обновлённый перечень отзыва (dbx), блокирующий исполнение этих опасных модулей.
Специалисты настоятельно рекомендуют немедленно установить последние обновления Windows, поскольку именно через них происходит актуализация списка dbx. Без этого, хакер, получивший административные права на системе, сможет обойти защиту Secure Boot и внедрить вредоносное программное обеспечение. Удаление такого ПО может потребовать полного форматирования диска и сброса параметров UEFI, что повлечет за собой потерю данных и необходимость переустановки системы.