Nueva falla de Secure Boot permite instalar malware BootKit

AXCESS · Junio 10, 2025, 11:58:01 PM

Investigadores de seguridad han revelado una nueva omisión de Arranque Seguro (Secure Boot), identificada como CVE-2025-3052, que puede utilizarse para desactivar la seguridad en PC y servidores e instalar malware bootkit.

La falla afecta a casi todos los sistemas que confían en el certificado "UEFI CA 2011" de Microsoft, es decir, prácticamente todo el hardware compatible con Arranque Seguro.

El investigador de Binarly, Alex Matrosov, descubrió la falla CVE-2025-3052 tras encontrar una utilidad de actualización de BIOS firmada con el certificado UEFI de Microsoft.

La utilidad se diseñó originalmente para tabletas robustas, pero al estar firmada con el certificado UEFI de Microsoft, puede ejecutarse en cualquier sistema con Arranque Seguro habilitado.

Investigaciones posteriores descubrieron que el módulo vulnerable había estado circulando libremente desde al menos finales de 2022 y posteriormente se publicó en VirusTotal en 2024, donde Binarly lo detectó.

Binarly informó sobre la falla al CERT/CC el 26 de febrero de 2025, y hoy se mitigó la CVE-2025-3052 como parte del martes de parches de junio de 2025 de Microsoft.

Sin embargo, durante este proceso, Microsoft determinó que la falla afectaba a otros 13 módulos, que se añadieron a la base de datos de revocación.

Durante el proceso de triaje, Microsoft determinó que el problema no afectaba a un solo módulo, como se creía inicialmente, sino a 14 módulos diferentes, explica Binarly.

Por esta razón, la dbx actualizada, publicada durante el martes de parches del 10 de junio de 2025, contiene 14 nuevos hashes.

Eludir el Arranque Seguro

La falla se debe a una utilidad legítima de actualización del BIOS firmada con el certificado UEFI CA 2011 de Microsoft, de confianza en la mayoría de los sistemas modernos que utilizan firmware UEFI.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Esta utilidad lee una variable NVRAM modificable por el usuario (IhisiParamBuffer) sin validarla. Si un atacante tiene permisos de administrador en un sistema operativo, puede modificar esta variable para que se escriban datos arbitrarios en ubicaciones de memoria durante el proceso de arranque UEFI. Esto se realiza antes de que se cargue el sistema operativo, o incluso el kernel.

Aprovechando esta vulnerabilidad, Binarly creó un exploit de prueba de concepto para anular la variable global 'gSecurity2', que se utiliza para aplicar el Arranque Seguro.

"Para nuestra prueba de concepto (PoC), optamos por sobrescribir la variable global gSecurity2", explica el informe de Binarly.

"Esta variable contiene un puntero al Protocolo Arquitectónico Security2, que la función LoadImage utiliza para aplicar el Arranque Seguro. Al establecerla a cero, desactivamos el Arranque Seguro, lo que permite la ejecución de cualquier módulo UEFI sin firmar".

Una vez desactivada, los atacantes pueden instalar malware bootkit que puede ocultarse del sistema operativo y desactivar otras funciones de seguridad.

Para corregir la vulnerabilidad CVE-2025-3052, Microsoft ha añadido los hashes del módulo afectado a la lista de revocación de archivos dbx de Arranque Seguro. Binarly y Microsoft instan a los usuarios a instalar el archivo dbx actualizado inmediatamente a través de las actualizaciones de seguridad de hoy para proteger sus dispositivos.

También hoy, Nikolaj Schlej reveló otra omisión de Arranque Seguro que afecta al firmware compatible con UEFI basado en Insyde H2O. La falla, denominada Hydroph0bia y identificada como CVE-2025-4275, se informó a Insyde y se corrigió 90 días después de su divulgación.

Binarly ha compartido un vídeo que demuestra cómo su PoC puede deshabilitar el Arranque seguro y hacer que se muestre un mensaje antes de que se inicie el sistema operativo.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Nueva falla de Secure Boot permite instalar malware BootKit

AXCESS

Junio 10, 2025, 11:58:01 PM