Flaw boot aman baru memungkinkan penyerang menginstal malware bootkit, tambalan sekarang

Peneliti keamanan telah mengungkapkan bypass boot aman baru yang dilacak sebagai CVE-2025-3052 yang dapat digunakan untuk mematikan keamanan pada PC dan server dan menginstal malware bootkit.

Cacat itu mempengaruhi hampir setiap sistem yang mempercayai sertifikat “UEFI CA 2011” Microsoft, yang merupakan hampir semua perangkat keras yang mendukung boot aman.

Peneliti Binarly Alex Matrosov menemukan cacat CVE-2025-3052 setelah menemukan utilitas bios-flashing yang ditandatangani dengan sertifikat penandatanganan UEFI Microsoft.

Utilitas ini awalnya dirancang untuk tablet kasar tetapi karena ditandatangani dengan sertifikat UEFI Microsoft, dapat dijalankan pada sistem booting yang aman.

Investigasi lebih lanjut menemukan bahwa modul yang rentan telah beredar di alam liar sejak setidaknya akhir 2022 dan kemudian diunggah ke Virustotal pada tahun 2024, di mana Binarly melihatnya.

Binarly mengungkapkan cacat itu ke CERT/CC pada 26 Februari 2025, dengan CVE-2025-3052 dimitigasi hari ini sebagai bagian dari Microsoft Juni 2025 Patch Selasa.

Namun, selama proses ini, Microsoft menentukan bahwa cacat mempengaruhi 13 modul lain, yang ditambahkan ke database pencabutan.

“Selama proses triase, Microsoft menentukan bahwa masalah ini tidak hanya memberikan satu modul tunggal seperti yang awalnya diyakini, tetapi sebenarnya 14 modul yang berbeda,” jelas Binarly.

“Untuk alasan ini, DBX yang diperbarui yang dirilis selama patch Selasa pada 10 Juni 2025 berisi 14 hash baru.”

Bypass boot aman

Kelemahan ini disebabkan oleh utilitas pembaruan BIOS yang sah yang ditandatangani dengan sertifikat Microsoft UEFI CA 2011, yang dipercaya pada sebagian besar sistem modern yang menggunakan firmware UEFI.

Utilitas ini membaca variabel NVRAM yang terbuat dari pengguna (IhisiParambuffer) tanpa memvalidasinya. Jika penyerang memiliki hak admin untuk sistem operasi, mereka dapat memodifikasi variabel ini sehingga data sewenang -wenang ditulis ke lokasi memori selama proses boot UEFI. Ini dilakukan sebelum sistem operasi, atau bahkan kernel, dimuat.

Menggunakan kerentanan ini, Binarly menciptakan eksploitasi bukti-konsep untuk nol variabel global ‘GSecurity2’, yang digunakan untuk menegakkan boot yang aman.

“Untuk bukti konsep kami (POC), kami memilih untuk menimpa variabel global GSecurity2,” jelas Laporan Binarly.

“Variabel ini memegang pointer ke protokol arsitektur Security2, yang digunakan fungsi pemuatan untuk menegakkan boot aman. Dengan mengaturnya ke nol, kami secara efek menonaktifkan boot aman, memungkinkan pelaksanaan modul UEFI yang tidak ditandatangani.”

Setelah dinonaktifkan, penyerang dapat menginstal malware bootkit yang dapat bersembunyi dari sistem operasi dan mematikan fitur keamanan lebih lanjut.

Untuk memperbaiki CVE-2025-3052, Microsoft telah menambahkan hash modul yang terpengaruh ke daftar pencabutan boot DBX yang aman. Binarly dan Microsoft mendesak pengguna untuk menginstal file DBX yang diperbarui segera melalui pembaruan keamanan saat ini untuk melindungi perangkat mereka.

Juga hari ini, bypass boot aman lain yang mempengaruhi firmware yang kompatibel dengan UEFI berdasarkan insyde H2O diungkapkan oleh Nikolaj Schlej. Cacatnya, Dijuluki Hydroph0bia dan dilacak sebagai CVE-2025-4275, dilaporkan menjadi insyde dan ditambal 90 hari setelah pengungkapan.

Binarly telah membagikan video yang menunjukkan bagaimana POC mereka dapat menonaktifkan boot aman dan menyebabkan pesan untuk ditampilkan sebelum sistem booting.