El investigador binarly Alex Matrosov ha revelado un nuevo
bypass en el arranque seguro y que puede usarse para desactivar la
seguridad en PC y servidores e instalar malware Bootkit. El investigador
descubrió el defecto, identificado como CVE-2025-3052, después de encontrar una utilidad de flashing de BIOS firmada
con el certificado de firma UEFI de Microsoft.
La utilidad fue diseñada originalmente para tabletas resistentes, pero como se
firmó con el certificado UEFI de Microsoft, puede ejecutarse en cualquier
sistema seguro habilitado para arranque. La falla afecta a casi todos los
sistemas que confían en el certificado «UEFI CA 2011» de Microsoft, que es
casi todo hardware que admite Secure Boot.
circulando desde al menos finales de 2022 y luego subió a Virustotal en 2024,
donde lo vio binarly. Binarly reveló el defecto a CERT/CC el 26 de febrero de
2025, con CVE-2025-3052 que se mitigó como parte del
parche de Microsoft Junio 2025.
Sin embargo, durante este proceso, Microsoft determinó que la falla impactó
otros 13 módulos, que se agregaron a la base de datos de revocación.
«Durante el proceso de clasificación, Microsoft determinó que el problema
no afilaba solo un solo módulo como se creía inicialmente, sino en realidad
14 módulos dierentes», explica Binarly.
«Por esta razón, el DBX actualizado lanzado durante el parche el martes 10
de junio de 2025 contiene 14 nuevas hash».
El bypass de arranque seguro
La falla es causada por una utilidad de actualización de BIOS legítima firmada
con el certificado UEFI CA 2011 de Microsoft, en el que se confía en la
mayoría de los sistemas modernos que utilizan el firmware UEFI.
Esta utilidad lee una variable NVRAM de usuarios (ihisiparambuffer) sin
validarla. Si un atacante tiene derechos de administración a un sistema
operativo, puede modificar esta variable para que los datos arbitrarios se
escriban en ubicaciones de memoria durante el proceso de arranque UEFI. Esto
se hace antes de que se cargue el sistema operativo, o incluso el núcleo.
Utilizando esta vulnerabilidad,
Binarly creó una prueba de concepto
mediante la variable global ‘GSecurity2’, que se utiliza para hacer
cumplir el arranque seguro.
«Esta variable contiene un puntero al protocolo de arquitectura Security2,
que la función LoadImage utiliza para hacer cumplir el arranque seguro. Al
configurarlo en cero, desactivamos de manera efectiva el arranque seguro, lo
que permite la ejecución de cualquier módulo UEFI sin firmar».
Una vez deshabilitados, los atacantes pueden instalar malware Bootkit que
puede esconderse del sistema operativo y apagar más características de
seguridad.
Para arreglar CVE-2025-3052, Microsoft ha agregado los hashes de módulo
afectados a la lista de revocación segura del arranque DBX. Binarly y
Microsoft instan a los usuarios a instalar el archivo DBX actualizado
inmediatamente a través de las actualizaciones de seguridad para proteger sus
dispositivos.
También hoy, Nikolaj Schlej reveló otro bypass de arranque seguro que afecta a
UEFI compatible basado en Insyde H2O. El defecto,
denominado Hydroph0Bia
y rastreado como CVE-2025-4275, se informó a Insyde y se parchó 90 días
después de la divulgación.
Binarly ha compartido un
video
que demuestra cómo su POC puede deshabilitar el arranque seguro y hacer que se
muestre un mensaje antes de que el sistema operativo se inicie.
Fuente:
BC