Grave falla in Secure Boot, milioni di PC a rischio: aggiornate subito!

Una nuova e grave vulnerabilità nel sistema di sicurezza Secure Boot, identificata come CVE-2025-3052, mette a rischio la sicurezza di milioni di dispositivi tra computer, server e workstation. La falla consente a un attaccante con privilegi amministrativi di eseguire codice arbitrario già nella fase di boot del firmware UEFI, aggirando completamente le protezioni previste da Secure Boot.

La scoperta è stata fatta dalla società di sicurezza Binarly, specializzata nella protezione della supply chain del firmware e del software. Il problema nasce da un modulo firmware firmato con il certificato digitale "UEFI CA 2011" di Microsoft, un certificato considerato ampiamente affidabile e accettato dalla quasi totalità dei sistemi moderni.

Il componente vulnerabile, originariamente progettato come utility per aggiornare il BIOS di tablet rugged prodotti da DT Research, è in grado di eseguire codice su qualsiasi sistema che accetta il certificato UEFI standard di Microsoft. Questo include la maggior parte delle distribuzioni Linux che utilizzano il bootloader "shim" firmato con lo stesso certificato.

Il meccanismo di attacco sfrutta una gestione non sicura di una variabile NVRAM chiamata IhisiParamBuffer. Il firmware, senza eseguire verifiche di validità, tratta il contenuto di questa variabile come un puntatore di memoria e vi scrive arbitrariamente. In un test dimostrativo, i ricercatori di Binarly hanno azzerato un puntatore critico denominato gSecurity2, disabilitando di fatto il meccanismo di enforcement di Secure Boot. In questo modo, codice non firmato può essere caricato indisturbato durante l'avvio del sistema.

Questo tipo di attacco, detto "pre-boot", è particolarmente pericoloso perché avviene prima che il sistema operativo o i suoi meccanismi di sicurezza possano intervenire. Una volta disattivato Secure Boot, è possibile installare bootkit - malware particolarmente persistenti e invisibili - che resistono persino alla reinstallazione del sistema operativo.

Secondo quanto riportato, la componente vulnerabile era già presente in rete almeno dal 2022 ed è stata individuata nel novembre 2024 su VirusTotal. Binarly ha notificato la falla a CERT/CC il 26 febbraio 2025, collaborando con Microsoft per valutarne l'impatto.

L'analisi ha rivelato che il problema non riguarda un solo modulo ma ben 14 componenti diversi, tutti con lo stesso difetto di sicurezza.

Per questo motivo, Microsoft ha incluso le firme digitali dei moduli compromessi nella sua lista di revoca (dbx) distribuita tramite l'aggiornamento del Patch Tuesday di giugno 2025. Pertanto, fino a quando tale aggiornamento non sarà installato su tutti i PC, i sistemi continueranno a essere vulnerabili e ad accettare codice firmato con il certificato compromesso.

Alex Matrosov, CEO e responsabile della ricerca di Binarly, ha sottolineato l'importanza di proteggere la catena di fiducia UEFI: "Quando questa viene compromessa, antivirus, crittografia dei dischi e persino ambienti isolati come le macchine virtuali non sono più efficaci".

Un altro Secure Boot bypass, denominato Hydroph0bia (CVE-2025-4275), è stato scoperto lo stesso giorno da un ricercatore indipendente e riguarda firmware compatibili UEFI basati su Insyde H2O. Anche questa vulnerabilità è stata corretta a seguito di segnalazione.

Binarly ha pubblicato una dimostrazione video del proprio proof-of-concept, che mostra come Secure Boot venga disattivato e come venga visualizzato un messaggio personalizzato prima dell'avvio del sistema operativo. Ulteriori informazioni tecniche sulla falla le trovate a questo indirizzo.