Pesquisadores da Binarly descobriram uma vulnerabilidade perigosa no mecanismo Secure Boot que permite que invasores desabilitem a proteção e executem código malicioso antes do carregamento do sistema operacional. O problema, identificado como CVE-2025-3052, está relacionado a um módulo UEFI assinado usado para atualizar o BIOS.
Fonte da imagem: Muha Ajjan/Unsplash
A vulnerabilidade afeta um módulo desenvolvido originalmente para os dispositivos seguros da DT Research, mas assinado por um certificado confiável Microsoft UEFI CA 2011. Como esse certificado é usado na maioria dos sistemas modernos, incluindo o bootloader shim do Linux (um componente pequeno, mas importante, do processo de inicialização), o código vulnerável pode ser executado em um grande número de computadores, observa o HotHardware.
O problema ocorre devido ao tratamento incorreto de uma variável NVRAM chamada IhisiParamBuffer. O módulo usa seu conteúdo como um ponteiro de memória sem verificação, permitindo que um invasor obtenha controle sobre a memória e desabilite completamente o protocolo Secure Boot. Isso abre caminho para bootkits ocultos (programas maliciosos que modificam o setor de boot) que operam no nível do firmware e permanecem invisíveis para antivírus e sistemas de monitoramento.
Fonte da imagem: Binário
Segundo a Binarly, a vulnerabilidade afetou mais de um módulo. A Microsoft identificou pelo menos 14 componentes problemáticos durante uma investigação conjunta. No entanto, nem tudo é ruim, pois uma correção já foi lançada como parte da atualização Patch Tuesday de junho de 2025, que inclui uma lista de revogação (dbx) atualizada que bloqueia a execução de módulos perigosos.
Especialistas recomendam instalar as atualizações mais recentes do Windows, pois são elas que atualizam a lista de dbx. Sem elas, um hacker com direitos administrativos pode desativar o Secure Boot e instalar malware, cuja remoção exigirá uma formatação completa do disco e a redefinição das configurações UEFI.