O problema afecta praticamente todos os sistemas que confiam no certificado "UEFI CA 2011" da Microsoft, o que inclui a grande maioria dos dispositivos com Secure Boot activado.
A empresa de segurança Binarly encontrou a falha após detectar uma ferramenta de actualização de BIOS assinada com o certificado UEFI da Microsoft. A ferramenta era destinada a tablets robustos mas, por estar devidamente assinada, pode ser executada em qualquer sistema com Secure Boot. Descobriu-se que o módulo vulnerável circula desde 2022 e foi carregado no VirusTotal em 2024.
O perigo está no facto de a ferramenta permitir, a utilizadores com permissões de administrador, modificar uma variável UEFI (IhisiParamBuffer) que controla a memória durante o arranque. Com isto, a Binarly criou um exploit funcional que desactiva totalmente o Secure Boot. Uma vez desactivado, é possível carregar malware antes do sistema operativo arrancar, tornando-o praticamente invisível e impossível de remover.
A Microsoft lançou a correcção esta terça-feira, no Patch Tuesday de Junho de 2025, ao incluir as assinaturas dos 14 módulos afectados na lista de revogação do Secure Boot (dbx). Os utilizadores devem efectuar a actualização o mais rapidamente possível. No mesmo dia, foi também divulgada outra falha semelhante, CVE-2025-4275 (designada por Hydroph0bia), que afecta firmware UEFI baseado em Insyde H2O - e que também já foi corrigida.
O grande problema dos bootkits é permitir que malware se insira no sistema durante as fases iniciais de arranque e antes do carregamento do sistema operativo propriamente dito, fazendo com que possa iniciar as suas funções de forma camuflada e escapando às tentativas de detecção dos sistemas de segurança que são executados posteriormente pelo sistema operativo.
Sem comentários:
Enviar um comentário (problemas a comentar?)