Investigadores de segurança revelaram uma nova e perigosa vulnerabilidade que permite contornar o Secure Boot, o sistema de arranque seguro presente na esmagadora maioria dos computadores e servidores modernos. Identificada como CVE-2025-3052, esta falha pode ser explorada para desativar as defesas do sistema e instalar malware persistente, como bootkits.
A vulnerabilidade afeta praticamente todos os sistemas que confiam no certificado "UEFI CA 2011" da Microsoft, o que significa que um vasto leque de hardware que suporta Secure Boot está em risco.
Uma falha com a assinatura da Microsoft
A descoberta foi feita por Alex Matrosov, um investigador da empresa de cibersegurança Binarly, que encontrou um utilitário de atualização da BIOS assinado com o certificado de assinatura UEFI da própria Microsoft. Embora este software fosse originalmente destinado a tablets robustos específicos, o facto de ter a assinatura digital da Microsoft permitia que fosse executado em qualquer sistema com o Secure Boot ativado.
Investigações posteriores revelaram que o módulo vulnerável já se encontrava em circulação desde, pelo menos, o final de 2022, tendo sido posteriormente carregado para a plataforma VirusTotal em 2024, onde a Binarly o detetou.
A Binarly notificou o CERT/CC sobre a falha a 26 de fevereiro de 2025. A mitigação para a CVE-2025-3052 foi lançada pela Microsoft no passado dia 10 de junho, como parte do seu ciclo de atualizações mensais, o conhecido "Patch Tuesday". Durante o processo de análise, a Microsoft determinou que o problema não se limitava a um único módulo, mas sim a um total de 14 módulos diferentes, que foram todos adicionados à base de dados de revogação.
Como funciona este bypass ao Secure Boot?
A falha reside num utilitário legítimo de atualização da BIOS. Este programa lê uma variável NVRAM que pode ser escrita pelo utilizador (chamada IhisiParamBuffer) sem realizar qualquer tipo de validação sobre o seu conteúdo. Se um atacante obtiver privilégios de administrador no sistema operativo, pode modificar esta variável para que dados arbitrários sejam escritos em localizações críticas da memória durante o processo de arranque UEFI. Este ataque ocorre antes mesmo de o sistema operativo ou o seu kernel serem carregados.
Com base nesta vulnerabilidade, a Binarly criou uma prova de conceito (PoC) para demonstrar o ataque. No seu relatório técnico, a empresa explica que o seu método consiste em sobrescrever a variável global gSecurity2. Esta variável aponta para o protocolo de segurança que a função LoadImage utiliza para impor o Secure Boot. Ao anular o seu valor, o Secure Boot é efetivamente desativado, permitindo a execução de qualquer módulo UEFI não assinado.
Uma vez desativado, os atacantes ganham a capacidade de instalar bootkits, um tipo de malware que se aloja nas fases iniciais do arranque do sistema, tornando-o invisível para o sistema operativo e para a maioria das soluções de segurança.
A solução já está disponível (mas há mais)
Para corrigir a vulnerabilidade CVE-2025-3052, a Microsoft adicionou os hashes dos 14 módulos afetados à lista de revogação do Secure Boot (dbx). Tanto a Binarly como a Microsoft recomendam veementemente que os utilizadores e administradores de sistemas instalem as mais recentes atualizações de segurança para garantir que o ficheiro dbx está atualizado e os seus dispositivos protegidos.
Coincidentemente, foi também revelada outra falha de bypass ao Secure Boot, descoberta por Nikolaj Schlej. Apelidada de "Hydroph0bia" e identificada como CVE-2025-4275, esta vulnerabilidade afeta firmware baseado no Insyde H2O, tendo sido já corrigida pelo fabricante após o período de divulgação responsável.
Nenhum comentário
Seja o primeiro!