Найдено в дикой природе: 2 безопасные эксплойты загрузки. Microsoft исправляет только 1 из них.
Исследователи обнаружили два общедоступных эксплойта, которые полностью уклоняются от защиты, предлагаемых Secure Boot, общеотраслевым механизмом для обеспечения того, чтобы устройства загружали только безопасные изображения операционной системы в процессе загрузки. Microsoft принимает меры, чтобы заблокировать один эксплойт и позволяя другому оставаться жизнеспособной угрозой.
В рамках ежемесячной подпрограммы обновления безопасности во вторник Microsoft исправлена CVE-2025-3052, уязвимость для обхода безопасного загрузки, затрагивающая более 50 производителей устройств. Более дюжины модулей, которые позволяют устройствам от этих производителей работать на Linux, позволяют злоумышленнику с физическим доступом отключить безопасную загрузку и оттуда установить вредоносное ПО, которое работает до того, как операционная система загрузится. Такие атаки «злой горничной» – это именно то, для чего предназначен для предотвращения ботинок угрозы. Уязвимость также может быть использована удаленно, чтобы сделать инфекции более скрытыми и мощными, если злоумышленник уже получил административный контроль над машиной.
Единственная точка отказа
Основная причина уязвимости является критической уязвимостью в инструменте, используемом для прошивки изображений прошивки на материнских платах устройств, продаваемых DT Research, производителем прочных мобильных устройств. Он был доступен на вирустотале с прошлого года и был подписан в цифровом виде в 2022 году, что было показано, что он был доступен по другим каналам, по крайней мере, с этой более ранней даты.
Хотя модуль был предназначен для работы только на исследованиях DT, большинство машин, работающих с Windows или Linux, выполнят его в процессе загрузки. Это связано с тем, что модуль аутентифицируется «Microsoft Corporation UEFI CA 2011», криптографическим сертификатом, подписанным Microsoft и предварительно установлен на пораженных машинах. Цель сертификата-аутентификация так называемых прокладок для загрузки Linux. Производители устанавливают его на свои устройства, чтобы убедиться, что они совместимы с Linux. Патч Microsoft, выпущенный во вторник, добавляет криптографические хэши для 14 отдельных вариантов инструмента исследования DT в список блоков, хранящийся в DBX, подписанные модули базы данных, которые были отозваны или иным образом не допустимы.
