Microsoft-allekirjoitettu laiteohjelmistomoduuli on löydetty ohittamaan turvallisen käynnistyksen, jolloin hyökkääjät voivat hiljaa poistaa tämän kriittisen tietoturvaominaisuuden monilla Windows-kannettavilla ja palvelimilla. Tämä haavoittuvuus, joka paljastettiin kesäkuussa 2025, aiheuttaa merkittävän uhan huolimatta hallinnollisesta ja fyysisestä pääsystä kohdennettuun koneeseen.
Haavoittuvuus sijaitsee Unified Extensible Firmware -rajapinta (UEFI), joka on laitteistoalustamisen alan standardi tietokoneen käynnistyksen aikana. UEFI toimii ennen käyttöjärjestelmää, mikä tekee siitä ensisijaisen tavoitteen hyökkääjille, jotka pyrkivät kompromissijärjestelmiin ennen OS-tason suojauspuolustuksen lataamista. Tutkijat ovat keskittyneet yhä enemmän UEFI: n haavoittuvuuksiin, kuten osoittaen aikaisempi vakavan turvallisen boot -ohitusvirhe.
Binaarien tutkijat tunnistivat virheellisen moduulin viruksen kokonaismäärästä marraskuussa 2024. Moduuli, jonka on ilmoittanut kehitetty myyjä, joka on erikoistunut julkisiin ympäristöihin, kuten lentokentille, kuten CVE-2025-3052, jota seurattiin haavoittuvuuteen. Tämä haavoittuvuus johtuu UEFI -muistin korruptioongelmasta. Microsoftin kolmansien osapuolien varmenneella aseistettu moduuli voisi antaa hyökkääjille mahdollisuuden korvata kriittisen muuttujan, jota käytetään turvallisen käynnistyksen, UEFI-tietoturvaominaisuuden, joka on suunniteltu estämään haitallisten ohjelmistojen lataamisen samalla tasolla kuin käyttöjärjestelmä.
Binaarien tutkimusryhmä havaitsi, että moduuli lukee UEFI `ihisiparambuffer` -muuttujan ja käyttää sitä osoittimena useita muistin kirjoitustoimintoja ilman validointia tai järkevyyttä. Tämä validoinnin puute antaa hyökkääjälle asettaa ”ihisiparambuffer” -muuttujan mielivaltaiseen osoitteeseen muistissa antaen heille mielivaltaisen muistin kirjoitusominaisuudet.
`Ihisiparambuffer` -muuttuja tallennetaan haihtumattomaan RAM-muistissa (NVRAM), jota käytetään muuttujien tallentamiseen, jotka on jatkettava saappaiden välillä. NVRAM -muuttujat ovat historiallisesti olleet toistuva turvallisuus haavoittuvuuksien lähde. Vuoden 2017 WikiLeaks -julkaisu yksityiskohtaisesti CIA: n tunkeutumistekniikat paljastaen, että virasto kohdensi NVRAM: ta hallitsemaan järjestelmän käynnistymistä.
Vaikka jotkut UEFI-jakaumat ovat immuuneja tälle erityiselle hyökkäykselle, koska ne kohtelevat ’ihisiparambuffer’ -muuttujaa vain luku -tyyppisinä, binaarisesti totesi, että suurin osa järjestelmistä on mahdollisesti vaarassa. Lisätutkimus paljasti, että moduuli on saattanut kiertää verkossa lokakuusta 2022 lähtien.
Tämän haavoittuvuuden onnistunut hyödyntäminen voisi jättää käyttöjärjestelmän käyttäytymiseen ikään kuin turvallinen käynnistys olisi mahdollista, vaikka se ei ole, petollisen turvallisuusasento. Kun Binaarly on ilmoittanut, Microsoft löysi vielä 13 firmware -moduulia, joilla oli sama virhe. Vastauksena Microsoft peruutti sertifikaatin kaikille 14 moduulille osana kesäkuun korjaustiedoston päivitystä.
ISMG: n apulaistoimittaja Prajeet Nair osallistui raporttiin. Nairilla on yli vuosikymmenen kokemus kyberturvallisuuden ja OT -kehityksen kattamisesta ja hänellä on toimitusroolit eri uutisorganisaatioissa.
Yhteenvetona voidaan todeta, että Microsoft-allekirjoitetun laiteohjelmistomoduulin löytäminen, joka pystyy ohittamaan turvallisen kengän, korostaa jatkuvia haasteita UEFI-laiteohjelmiston eheyden ylläpitämisessä. Haavoittuvuus, CVE-2025-3052, mahdollistaa turvallisen käynnistyksen hiljaisen käytöstä poistamisen hyödyntämällä muistin korruption virhettä. Vaikka hyökkäys vaatii hallinnollista ja fyysistä pääsyä, sen mahdollinen vaikutus moniin Windows -järjestelmiin on merkittävä. Microsoftin vastaus, joka sisälsi sertifikaattien peruuttamisen kaikkien kärsineiden moduulien kanssa, on tärkeä askel tämän uhan lieventämisessä. Tapahtuma korostaa kuitenkin jatkuvan valppauden ja vankan turvallisuustoimenpiteiden tarvetta UEFI -laiteohjelmisto -ekosysteemissä.
Haavoittuvuuden avulla hyökkääjät voivat hiljaa poistaa turvallisen käynnistyksen, kriittisen turvaominaisuuden, joka on suunniteltu estämään haitallisten ohjelmistojen lataamisen käynnistysprosessin aikana. Tämä ohitus voi tapahtua ilman käyttäjän tietämystä, jättäen käyttöjärjestelmän alttiiksi haittaohjelmille ja muille uhkille.
Vaikka hyökkäys vaatii järjestelmänvalvojan pääsyä ja fyysistä pääsyä kohdekoneeseen, mahdollinen vaikutus on merkittävä. Näillä etuoikeuksilla varustettu hyökkääjä voisi hyödyntää haavoittuvuutta pysyvän haittaohjelman asentamisessa tai järjestelmän turvallisuuden vaarantamiseksi muilla tavoilla.
Microsoft julkaisi korjauksen kesäkuussa 2025 haavoittuvuuden torjumiseksi. Tämä korjaustiedosto peruuttaa asianomaisten moduulien varmenteet estäen niitä käyttämästä suojatun käynnistyksen ohittamiseen.
Haavoittuvuus sijaitsee Unified Extensible Firmware -rajapinnassa (UEFI), joka vastaa laitteistojen alustamisesta käynnistysprosessin aikana. UEFI -haavoittuvuudet ovat erityisen huolestuttavia, koska niitä voidaan hyödyntää ennen käyttöjärjestelmää edes käynnistymässä, mikä vaikeuttaa niiden havaitsemista ja estämistä.
Binaarly -tutkijat löysivät virheen viruksen kokonaismäärän marraskuussa 2024. Tämä löytö korostaa uhkatietojen merkitystä ja viruksen kokonaismäärän kaltaisten alustojen merkitystä mahdollisesti haitallisten ohjelmistojen tunnistamisessa.
Moduulin kehitti karujen näyttelyiden myyjä, mikä viittaa siihen, että haavoittuvuus voi esiintyä monissa teollisuus- ja julkisissa olosuhteissa käytetyissä laitteissa. Tämä korostaa turvallisuuden tarvetta olla etusijalla koko toimitusketjussa.
Virhettä seurataan CVE-2025-3052 ja se johtuu UEFI-muistin korruption haavoittuvuudesta. Tämä CVE -tunniste antaa turvallisuusammattilaisille mahdollisuuden seurata ja korjata haavoittuvuutta tehokkaasti.
Microsoft -sertifikaatilla allekirjoitettu moduuli antaa hyökkääjälle korvata avainmuuttujan turvalliselle käynnistykselle. Tämä kyky muokata kriittisiä järjestelmäasetuksia on se, mikä tekee haavoittuvuudesta niin vaarallisen.
Moduuli lukee UEFI `ihisiparambuffer` -muuttujan ja käyttää sitä osoittimena muistin kirjoitusoperaatioihin ilman validointia. Tämä validoinnin puute on muistin korruption haavoittuvuuden perimmäinen syy.
Hyökkääjät voivat asettaa `ihisiparambuffer` -muuttujan mielivaltaiseksi muistiosoitteeksi, jolloin he voivat kirjoittaa mihin tahansa paikkaan muistissa. Tätä mielivaltaista muistin kirjoituskykyä voidaan käyttää turvallisen käynnistyksen poistamiseen käytöstä tai muiden haitallisten toimien suorittamiseen.
Jotkut UEFI-jakaumat ovat immuuneja, koska ne kohtelevat `ihisiparambuffer` -muuttujaa vain luku -tyyppisinä. Tämä osoittaa, että tietyt tietoturvakokoonpanot voivat lieventää tämän haavoittuvuuden riskiä.
Moduuli on saattanut levittää verkossa lokakuusta 2022 lähtien, mikä osoittaa, että haavoittuvuus on ollut läsnä huomattavasti aikaa. Tämä korostaa säännöllisten tietoturvapäivitysten ja haavoittuvuuden skannauksen merkitystä.
Käyttöjärjestelmä voi käyttäytyä ikään kuin suojattu käynnistys olisi käytössä, vaikka se ei ole, mikä vaikeuttaa käyttäjien kompromissin havaitsemista. Tämä harhaanjohtava käyttäytyminen voi antaa hyökkääjille mahdollisuuden ylläpitää järjestelmän pysyvyyttä havaitsematta.
Microsoft löysi 13 ylimääräistä laiteohjelmistomoduulia, joilla oli sama virhe, korostaen haavoittuvuuden laajaa luonnetta. Tämä löytö korostaa laiteohjelmiston ja muiden matalan tason ohjelmistojen perusteellisten tietoturvatarkastusten tarvetta.
Microsoft peruutti kaikkien 14 moduulin varmenteen kesäkuun tiistaina päivityksessä. Tämä peruuttaminen estää moduuleja käyttämästä suojatun käynnistyksen ohittamiseen, mikä lieventää tehokkaasti haavoittuvuuden riskiä.
Tämän turvallisen käynnistyksen ohitus haavoittuvuuden löytäminen ja korjaaminen korostavat jatkuvia haasteita nykyaikaisten tietokonejärjestelmien turvaamisessa. Laiteohjelmiston haavoittuvuudet ovat erityisen huolestuttavia, koska niitä voi olla vaikea havaita ja estää. Organisaatioiden on priorisoitava turvallisuus koko toimitusketjussa ja toteutettava vankat turvatoimenpiteet suojatakseen tämäntyyppisiltä hyökkäyksiltä. Säännölliset tietoturvapäivitykset, haavoittuvuuden skannaus ja uhkatiedot ovat välttämättömiä laiteohjelmiston haavoittuvuuksien riskin lieventämiseksi ja turvallisen laskentaympäristön ylläpitämiseksi.
Tapahtuma muistuttaa kerroksen turvallisuuden merkitystä ja tarvetta puuttua haavoittuvuuksiin järjestelmän kaikilla tasoilla, laiteohjelmistosta käyttöjärjestelmään ja sovelluksiin. Ottaen kattavan lähestymistavan turvallisuuteen, organisaatiot voivat vähentää kompromissiriskiä ja suojata kriittisiä varojaan.
Tämän haavoittuvuuden ja Microsoftin vastauksen löytäminen korostaa myös turvallisuustutkijoiden ja myyjien yhteistyön merkitystä. Yhteistyössä he voivat tunnistaa ja korjata haavoittuvuudet nopeammin ja tehokkaammin parantamalla laskentaekosysteemin yleistä turvallisuutta.
Tapahtuma herättää myös kysymyksiä kolmansien osapuolien todistusten turvallisuudesta ja niiden validointiin käytetyistä prosesseista. Microsoftin peruutus asianomaisten moduulien sertifikaatioista on välttämätön askel, mutta se korostaa myös väärinkäytöksen mahdollisuuksia ja vahvemman valvontaa todistusten liikkeeseenlaskujen ja hallinnan suhteen.
Source: Microsoft-allekirjoitettu laiteohjelmisto ohittaa turvallisen käynnistyksen Windowsissa
