Istraživači su otkrili dva javno dostupna alata koja potpuno zaobilaze zaštitu koju nudi Secure Boot, industrijski mehanizam koji osigurava da uređaji učitavaju samo sigurne operacijske sustave tijekom pokretanja. Microsoft poduzima mjere kako bi blokirao jedan od tih alata, dok drugi ostaje prijetnja.
U okviru redovnog mjesečnog ažuriranja sigurnosti, Microsoft je zakrpio CVE-2025-3052, ranjivost koja omogućava zaobilaženje Secure Boot zaštite i utječe na više od 50 proizvođača uređaja. Više od desetak modula koji omogućuju rad uređaja ovih proizvođača na Linuxu omogućava napadaču s fizičkim pristupom da isključi Secure Boot i instalira zloćudni softver koji se pokreće prije učitavanja operativnog sustava. Takvi napadi, poznati kao ‘evil maid’ napadi, upravo su prijetnja koju Secure Boot treba spriječiti.
Osnovni uzrok ranjivosti je kritična ranjivost u alatu koji se koristi za flashanje firmware slika na matičnim pločama uređaja koje prodaje DT Research, proizvođač robusnih mobilnih uređaja. Ovaj alat dostupan je na VirusTotal od prošle godine i digitalno je potpisan 2022. godine, što ukazuje da je već od tada bio dostupan kroz druge kanale.
Iako je modul namijenjen samo za DT Research uređaje, većina računala koja koriste Windows ili Linux izvršava ga tijekom procesa pokretanja. To je zbog toga što modul autentificira ‘Microsoft Corporation UEFI CA 2011’, kriptografski certifikat koji potpisuje Microsoft i koji dolazi unaprijed instaliran na pogođenim uređajima. Microsoftova zakrpa dodaje kriptografske hash-eve za 14 različitih varijanti DT Research alata na popis blokiranih modula u DBX-u, bazi podataka koja sadrži potpisane module koji su opozvani ili se smatraju nepovjerljivima.
“Ovo otkriće naglašava kako jedan propust dobavljača može imati dalekosežne posljedice na cijeli UEFI lanac opskrbe, zbog čega organizacije investiraju u kontinuirano skeniranje na binarnoj razini i brze DBX implementacije umjesto da se oslanjaju na godišnje ‘sigurne BIOS ažuriranja’,” rekao je Alex Matrosov, izvršni direktor tvrtke Binarly, koja je otkrila Secure Boot ranjivost. UEFI označava Unified Extensible Firmware Interface, firmware koji zamjenjuje BIOS.
Binarly je ocijenio ozbiljnost CVE-2025-3052 s 8.2 od mogućih 10, dok je Microsoftova ocjena 6.7. Ranjivost je također dobila zakrpu u utorak od Red Hata i drugih distributera Linux operativnih sustava.
Secure Boot koristi javnu kriptografiju kako bi blokirao učitavanje bilo kakvog koda tijekom pokretanja koji nije potpisan unaprijed odobrenim digitalnim potpisom. Tako se uspostavlja lanac povjerenja između hardvera i softvera koji pokreće uređaj. Microsoft zahtijeva da Secure Boot bude uključen prema zadanim postavkama.
Druga javno dostupna Secure Boot ranjivost otkrivena je od strane istraživača Zacka Didcotta. CVE-2025-47827 potječe iz IGEL-a, modula jezgre Linuxa za upravljanje njihovim vlasničkim logičkim volumenima. Napadači s fizičkim pristupom mogu pokrenuti uređaj u IGEL-u i modificirati boot loader za instalaciju zloćudnog softvera.
