Foi descoberto um módulo de firmware assinado pela Microsoft para ignorar a inicialização segura, potencialmente permitindo que os invasores desativem silenciosamente esse recurso de segurança crítica em uma ampla gama de laptops e servidores do Windows. Essa vulnerabilidade, divulgada em junho de 2025, representa uma ameaça significativa, apesar de exigir acesso administrativo e físico à máquina alvo.
A vulnerabilidade reside na interface de firmware extensível unificada (UEFI), o padrão da indústria para inicialização de hardware durante a inicialização do computador. A UEFI opera antes do sistema operacional, tornando-o um principal alvo para os invasores que buscam comprometer os sistemas antes que as defesas de segurança no nível do SO sejam carregadas. Os pesquisadores se concentraram cada vez mais nas vulnerabilidades da UEFI, como demonstrado por uma descoberta anterior de uma falha séria de desvio de bota segura.
Pesquisadores binarmente identificaram o módulo falho no total de vírus em novembro de 2024. O módulo, teria desenvolvido por um fornecedor especializado em exibições acidentadas para ambientes públicos como aeroportos, continham uma vulnerabilidade rastreada como CVE-2025-3052. Essa vulnerabilidade decorre de um problema de corrupção da memória da UEFI. Armado com um certificado de terceiros da Microsoft, o módulo pode permitir que os invasores substituam uma variável crítica usada para aplicar a inicialização segura, um recurso de segurança da UEFI projetado para impedir que o software malicioso seja carregado no mesmo nível que o sistema operacional.
A equipe de pesquisa binarmente descobriu que o módulo lê a variável uefi `ihisiparambuffer` e a usa como um ponteiro para várias operações de gravação de memória sem verificações de validação ou sanidade. Essa falta de validação permite que um invasor defina a variável `ihisiparambuffer` para um endereço arbitrário na memória, concedendo a eles recursos de gravação de memória arbitrária.
A variável `ihisiparambuffer` é armazenada na RAM não volátil (NVRAM), que é usada para armazenar variáveis que precisam persistir entre as botas. As variáveis da NVRAM têm sido historicamente uma fonte recorrente de vulnerabilidades de segurança. Uma publicação do WikiLeaks de 2017 detalhou técnicas de penetração da CIA, revelando que a agência direcionou a NVRAM para obter controle sobre a inicialização do sistema.
Embora algumas distribuições da UEFI sejam imunes a esse ataque específico porque tratam a variável `ihisiparambuffer ‘como somente leitura, afirmou Binarly que a grande maioria dos sistemas está potencialmente em risco. Investigações adicionais revelaram que o módulo pode estar circulando on -line desde outubro de 2022.
Uma exploração bem -sucedida dessa vulnerabilidade pode deixar o sistema operacional se comportando como se a inicialização segura fosse ativada, mesmo quando não é, criando uma postura de segurança enganosa. Ao ser notificado pela Binarly, a Microsoft descobriu 13 módulos de firmware adicionais com a mesma falha. Em resposta, a Microsoft revogou o certificado para todos os 14 módulos como parte de sua atualização de junho de terça -feira.
Prajeet Nair, editor assistente da ISMG, contribuiu para este relatório. Nair tem mais de uma década de experiência cobrindo a segurança cibernética e os desenvolvimentos da AT e ocupou funções editoriais em várias organizações de notícias.
Em resumo, a descoberta de um módulo de firmware assinado pela Microsoft capaz de contornar a inicialização segura destaca os desafios contínuos para manter a integridade do firmware da UEFI. A vulnerabilidade, CVE-2025-3052, permite a desativação silenciosa da inicialização segura, explorando uma falha de corrupção de memória. Embora o ataque exija acesso administrativo e físico, seu impacto potencial em uma ampla gama de sistemas Windows é significativo. A resposta da Microsoft, que incluiu a revogação dos certificados para todos os módulos afetados, é uma etapa crucial para mitigar essa ameaça. No entanto, o incidente ressalta a necessidade de vigilância contínua e medidas de segurança robustas no ecossistema de firmware da UEFI.
A vulnerabilidade permite que os invasores desativem silenciosamente a inicialização segura, um recurso de segurança crítico projetado para impedir que o software malicioso seja carregado durante o processo de inicialização. Esse desvio pode ocorrer sem o conhecimento do usuário, deixando o sistema operacional vulnerável a malware e outras ameaças.
Embora o ataque exija acesso do administrador e acesso físico à máquina de destino, o impacto potencial é significativo. Um invasor com esses privilégios pode explorar a vulnerabilidade para instalar malware persistente ou comprometer a segurança do sistema de outras maneiras.
A Microsoft emitiu um patch em junho de 2025 para lidar com a vulnerabilidade. Este patch revoga os certificados para os módulos afetados, impedindo que eles sejam usados para ignorar a inicialização segura.
A vulnerabilidade está localizada na interface de firmware extensível (UEFI) unificada, responsável por inicializar o hardware durante o processo de inicialização. As vulnerabilidades da UEFI são particularmente preocupantes porque podem ser exploradas antes mesmo de o sistema operacional começar, dificultando a detecção e a prevenção.
Pesquisadores binarmente descobriram o módulo falho no total de vírus em novembro de 2024. Essa descoberta destaca a importância da inteligência de ameaças e o papel de plataformas como o Total Total na identificação de software potencialmente malicioso.
O módulo foi desenvolvido por um fornecedor de telas acidentadas, sugerindo que a vulnerabilidade pode estar presente em uma variedade de dispositivos usados em ambientes industriais e públicos. Isso ressalta a necessidade de segurança ser uma prioridade em toda a cadeia de suprimentos.
A falha é rastreada como CVE-2025-3052 e decorre de uma vulnerabilidade de corrupção de memória da UEFI. Esse identificador de CVE permite que os profissionais de segurança rastreem e remediem a vulnerabilidade de maneira eficaz.
O módulo, assinado com um certificado da Microsoft, permite que um invasor substitua uma variável chave para a inicialização segura. Essa capacidade de modificar as configurações críticas do sistema é o que torna a vulnerabilidade tão perigosa.
O módulo lê a variável uefi `ihisiparambuffer` e a usa como um ponteiro para operações de gravação de memória sem validação. Essa falta de validação é a causa raiz da vulnerabilidade de corrupção da memória.
Os invasores podem definir a variável `ihisiparambuffer` para um endereço de memória arbitrário, permitindo que eles escrevam em qualquer local na memória. Esse recurso arbitrário de gravação de memória pode ser usado para desativar a inicialização segura ou executar outras ações maliciosas.
Algumas distribuições da UEFI são imunes porque tratam a variável `ihisiparambuffer` como somente leitura. Isso demonstra que certas configurações de segurança podem mitigar o risco dessa vulnerabilidade.
O módulo pode ter circulado on -line desde outubro de 2022, indicando que a vulnerabilidade está presente por um período significativo de tempo. Isso ressalta a importância das atualizações regulares de segurança e da varredura de vulnerabilidades.
O sistema operacional pode se comportar como se a inicialização segura fosse ativada mesmo quando não é, dificultando a detecção do compromisso. Esse comportamento enganoso pode permitir que os invasores mantenham a persistência no sistema sem serem detectados.
A Microsoft encontrou 13 módulos de firmware adicionais com a mesma falha, destacando a natureza generalizada da vulnerabilidade. Essa descoberta ressalta a necessidade de auditorias de segurança completas de firmware e outro software de baixo nível.
A Microsoft revogou o certificado para todos os 14 módulos na atualização do patch de junho na terça -feira. Essa revogação impede que os módulos sejam usados para ignorar a inicialização segura, mitigando efetivamente o risco da vulnerabilidade.
A descoberta e remediação desse vulnerabilidade de desvio de inicialização segura destacam os desafios contínuos na obtenção de sistemas modernos de computadores. As vulnerabilidades de firmware são particularmente preocupantes porque podem ser difíceis de detectar e prevenir. As organizações devem priorizar a segurança em toda a cadeia de suprimentos e implementar medidas de segurança robustas para proteger contra esses tipos de ataques. Atualizações regulares de segurança, varredura de vulnerabilidades e inteligência de ameaças são essenciais para mitigar o risco de vulnerabilidades de firmware e manter um ambiente de computação seguro.
O incidente serve como um lembrete da importância da segurança em camadas e da necessidade de abordar as vulnerabilidades em todos os níveis do sistema, do firmware ao sistema operacional e aplicativos. Ao adotar uma abordagem abrangente da segurança, as organizações podem reduzir o risco de compromisso e proteger seus ativos críticos.
A descoberta dessa vulnerabilidade e a resposta da Microsoft também ressaltam a importância da colaboração entre pesquisadores de segurança e fornecedores. Ao trabalhar juntos, eles podem identificar e remediar vulnerabilidades de maneira mais rápida e eficaz, melhorando a segurança geral do ecossistema de computação.
O incidente também levanta questões sobre a segurança de certificados de terceiros e os processos usados para validá-los. A revogação da Microsoft dos certificados para os módulos afetados é uma etapa necessária, mas também destaca o potencial de abuso e a necessidade de controles mais fortes sobre a emissão e gerenciamento de certificados.
Source: O firmware assinado pela Microsoft ignora a inicialização segura no Windows
