Дослідники виявили два експлойти, які не підлягають захисту, що надається механізмом Secure Boot. Цей механізм забезпечує завантаження лише безпечних образів операційних систем під час запуску пристроїв. Microsoft вживає заходів для блокування одного з експлойтів, в той час як другий залишає активною загрозою.
В рамках звичного щомісячного оновлення безпеки, Microsoft виправила вразливість CVE-2025-3052, що дозволяє обійти Secure Boot, впливаючи на більш ніж 50 виробників пристроїв. Більше десятка модулів, які дають можливість цим пристроям працювати з Linux, дозволяють зловмиснику з фізичним доступом відключити Secure Boot, що дає можливість встановити шкідливе програмне забезпечення до завантаження операційної системи. Такі напади, відомі як «атака зламаної прибиральниці», мотивували впровадження Secure Boot. Вразливість також може бути використана віддалено, що робить інфекції менш помітними та більш потужними, якщо зловмисник вже отримав адміністративний контроль над системою.
Єдина точка збоїв
Основною причиною вразливості є критична помилка в інструменті, який використовують для запису образів прошивок на материнських платах пристроїв, що їх випускає компанія DT Research, фахівець у створенні витривалих мобільних пристроїв. Цей інструмент був доступний на VirusTotal з минулого року та був цифрово підписаний у 2022 році, що вказує на те, що він доступний через інші канали з принаймні цього часу.
Хоча модуль призначався лише для пристроїв DT Research, більшість комп’ютерів, що працюють на Windows або Linux, виконують його під час запуску. Це пов’язано з тим, що модуль анонімізується за допомогою сертифіката “Microsoft Corporation UEFI CA 2011”, який підписаний Microsoft і попередньо встановлений на відповідних пристроях. Мета сертифіката полягає в автентифікації так званих шиму для завантаження Linux. Виробники встановлюють його на свої пристрої, щоб забезпечити їхню сумісність з Linux. Оновлення, яке Microsoft випустила у вівторок, додало криптографічні хеші 14 різних варіантів інструменту DT Research до чорного списку, що зберігається в базі даних DBX, яка містить підписані модулі, що були анульовані або вважаються ненадійними.