Uma vulnerabilidade crítica no Secure Boot — rastreada como CVE-2025-3052 — expõe milhões de PCs e servidores à instalação silenciosa de malware do tipo bootkit. A falha, descoberta por pesquisadores da empresa Binarly, afeta sistemas que confiam no certificado Microsoft UEFI CA 2011, usado amplamente em firmwares UEFI modernos. A correção já está disponível no Patch Tuesday de junho de 2025, mas exige ação imediata por parte dos administradores de sistemas e usuários avançados.
Nova falha no Secure Boot permite instalação de malware bootkit em sistemas UEFI
O que é o CVE-2025-3052 e como ele compromete o Secure Boot?
A vulnerabilidade foi identificada após a análise de um utilitário legítimo de atualização de BIOS originalmente projetado para tablets robustos. Esse utilitário estava assinado com o certificado UEFI da Microsoft, o que permite sua execução em qualquer sistema com o Secure Boot ativado.
O problema está no fato de que o módulo vulnerável lê a variável IhisiParamBuffer, gravável via NVRAM, sem qualquer validação de segurança. Isso permite que um invasor com privilégios de administrador modifique essa variável para injetar dados arbitrários na memória ainda durante a fase de boot do sistema — antes mesmo que o kernel seja carregado.
A prova de conceito (PoC) divulgada pela Binarly mostra como a variável global gSecurity2, responsável por impor a inicialização segura via protocolo Security2, pode ser zerada. Isso desabilita completamente o Secure Boot, abrindo espaço para a execução de módulos UEFI não assinados e a instalação de bootkits invisíveis ao sistema operacional.
Impacto e abrangência da falha
A falha não está isolada a um único módulo. Durante o processo de análise com a CERT/CC, a Microsoft identificou 14 módulos comprometidos. Todos foram adicionados à base de dados de revogação dbx do Secure Boot.
“Durante o processo de triagem, a Microsoft determinou que o problema não afetava apenas um único módulo, mas 14 diferentes”, destacou a Binarly.
Isso significa que a ameaça afeta virtualmente qualquer sistema moderno que utiliza firmware UEFI e confia no certificado UEFI CA 2011 da Microsoft. A falha já circulava em ambientes reais desde o final de 2022 e foi finalmente identificada em 2024 após ser enviada ao VirusTotal para análise.
Como se proteger: atualização do dbx e práticas recomendadas
A correção do CVE-2025-3052 foi incluída nas atualizações de segurança do Patch Tuesday de junho de 2025, com o lançamento de um novo dbx contendo os 14 hashes dos módulos comprometidos.
Usuários e administradores devem:
- Aplicar imediatamente todas as atualizações do Windows Update.
- Confirmar se a atualização do
dbxfoi instalada corretamente. - Monitorar sistemas com ferramentas de integridade do boot e de firmware.
Além disso, a divulgação do CVE-2025-4275, apelidado de Hydroph0bia, por Nikolaj Schlej, revela um segundo bypass que afeta firmware UEFI baseado no Insyde H2O — reforçando a necessidade de políticas rigorosas de atualização de firmware em ambientes corporativos e servidores.
Um alerta para a cadeia de confiança da inicialização
O caso do CVE-2025-3052 reforça um ponto crítico: a cadeia de confiança do boot é tão segura quanto o elo mais fraco. A assinatura digital de módulos UEFI — mesmo que legítima — não garante proteção se variáveis críticas puderem ser manipuladas localmente. Isso exige uma revisão constante das políticas de segurança de firmware, BIOS e bootloaders.
Verifique seu ambiente agora, atualize o dbx, reforce o controle de privilégios de administrador e mantenha o monitoramento contínuo de integridade de firmware.
