Závažná zranitelnost v Microsoft Secure Boot umožňovala instalaci bootkit malwaru

Společnost Microsoft vydala v červnovém kumulativním balíčku Patch Tuesday opravu kritické zranitelnosti v komponentě Secure Boot, která mohla útočníkům umožnit vypnutí bezpečnostních funkcí a instalaci bootkit malwaru. Zneužití chyby bylo možné i v systémech se zabezpečeným UEFI firmwarem a aktivním Secure Bootem.

Na problém upozornili výzkumníci ze společnosti Binarly, kteří analyzovali legitimní BIOS aktualizační utilitu podepsanou Microsoftem (certifikátem UEFI CA 2011). Tento certifikát je důvěryhodný na většině moderních zařízení využívajících UEFI a hraje klíčovou roli v ověřování integrity bootovacích komponent.

Co přesně byla zranitelnost?

Podstatou zranitelnosti (nyní evidované jako CVE-2025-3052, skóre CVSS 8,2) bylo to, že daná utilita neověřovala obsah jedné proměnné v NVRAM, kterou bylo možné upravit s oprávněními správce přímo z operačního systému. To útočníkům otevíralo cestu k tomu, aby během boot procesu zapisovali libovolná data do paměti – a tím například vypnuli Secure Boot a spustili nepodepsané UEFI moduly.

Výsledkem byla možnost nainstalovat tzv. bootkit malware – velmi perzistentní formu škodlivého kódu, která přežije i výměnu disku a běžné reinstalace systému.

Zranitelné moduly byly v oběhu od roku 2022

Binarly uvedlo, že první výskyty zranitelného modulu byly zaznamenány již v roce 2022 a na VirusTotal se objevily v roce 2024. Microsoft byl na problém upozorněn v únoru 2025 a během června publikoval opravu. Původně se předpokládalo, že se zranitelnost týká pouze jednoho modulu, ale v rámci šetření bylo odhaleno celkem 14 postižených modulů. Všechny byly zahrnuty do aktualizace databáze blokovaných UEFI podpisů (dbx), která byla vydána 10. června.

Co z toho vyplývá?

• Firmware a UEFI nejsou „nedotknutelné“: Tato zranitelnost potvrzuje, že útoky mohou probíhat i na úrovni před samotným startem OS. U zákazníků s vysokými požadavky na bezpečnost je klíčové mít strategie pro správu a aktualizaci firmware.
• Správa důvěryhodných modulů (dbx) je kritická: UEFI Secure Boot závisí na správně udržované databázi důvěryhodných a blokovaných podpisů. Opravy na této úrovni se nešíří klasickým způsobem přes Windows Update – je třeba, aby partneři zajistili jejich distribuci a aplikaci.
• Zvýšená poptávka po specializovaných službách: Téma bezpečnosti UEFI a správného nastavení Secure Bootu se tímto opět dostává do popředí. MSP, integrátoři i bezpečnostní konzultanti mohou nabídnout audit konfigurace a správu aktualizací firmware jako placenou službu.

Microsoft problém vyřešil, ale detekce kompromitace na této úrovni je velmi obtížná. Bezpečnostní incidenty spojené s bootkity mohou zůstat dlouho bez povšimnutí. Pro dodavatele IT řešení i správce infrastruktury to znamená nutnost věnovat víc pozornosti i těm nejnižším vrstvám systémové architektury.

Zdroj: bleepingcomputer.com

Zdroj ilustračního obrázku: vygenerováno pomocí AI