На прошлой неделе были обнародованы детали сразу трех уязвимостей, позволяющих обойти технологию Secure Boot. Данная технология применяется на всех современных ПК (и на других устройствах), и ее целью является контроль целостности кода при запуске системы. Функционирование данного механизма требует взаимодействия множества компаний — разработчиков как программного, так и аппаратного обеспечения. Ошибки отдельных участников этой работы часто делают уязвимой всю экосистему, и примеры таких масштабных (хотя и относительно редко эксплуатируемых) уязвимостей в последнее время демонстрируются достаточно часто.
Первая уязвимость из трех имеет идентификатор CVE-2025-3052 и была обнаружена компанией Binarly в приложении для перепрошивки UEFI — кода, исполняемого до загрузки операционной системы. Приложение было создано компанией DT Research и предназначалось для обновления прошивки ПК, разрабатываемых этой организацией. В приложении содержалась ошибка, позволяющая полностью обойти систему Secure Boot.
Как и другие подобные приложения, утилита DT Research подписана сертификатом Microsoft, который также используется в процессе загрузки ОС на базе ядра Linux. Собственно уязвимость заключается в том, что приложение не проверяет входящие данные и использует их в качестве указателей в ряде операций записи в оперативную память. В Binarly показали, как эту ошибку в коде могут использовать атакующие для перезаписи важных данных, в том числе — изменять переменную, которая, по сути, отключает Secure Boot в принципе.
В результате выстраивается следующий сценарий теоретической атаки. Злоумышленник кратковременно получает физический доступ к устройству. Задействует уязвимость в утилите компании DT Research. Выводит из строя Secure Boot. Добавляет в процесс загрузки вредоносные модули и наконец перезагружает компьютер, обеспечивая вредоносному коду контроль над операционной системой.
У этой истории есть интересный сюжетный поворот. Для того чтобы уязвимость работала, у атакующего должна быть возможность модификации переменной IhisiParamBuffer, из которой утилита DT Research будет производить чтение данных. В UEFI компании Insyde Software модификация данной переменной заблокирована, в то время как у других разработчиков UEFI ее можно изменять. В устройствах DT Research используется UEFI именно от Insyde Software. Получается, что ошибка в коде определенного производителя ставит под угрозу большое количество устройств, но компьютеры самого производителя уязвимости не подвержены.
Следующая уязвимость с идентификатором CVE-2025-47827 обнаружена исследователем Заком Дидкоттом. Она содержится в модуле igel-flash-driver для ядра Linux, разработанном компанией IGEL Technology. Суть в следюущем: ошибка при верификации криптографической подписи может приводить к загрузке с использованием вредоносной файловой системы.
Третья уязвимость обнаружена исследователем Николаем Шлеем и имеет идентификатор CVE-2025-4275 (он также опубликовал отчет на Хабре здесь и здесь). Николай исследовал работу UEFI на собственном ноутбуке Huawei MateBook 14, в котором используется прошивка UEFI InsydeH2O. Уязвимость позволяет при включенном Secure Boot выполнить произвольный код, подписанный собственноручно сгенерированным сертификатом. Во второй публикации исследователь показывает, как развить атаку и перехватить управление во время обновления прошивки с потенциально более серьезными последствиями.
Исследователи «Лаборатории Касперского» разбирают свежую вредоносную программу, маскирующуюся под клиент для ИИ-помощника DeepSeek. Вредоносное приложение продвигается через соцсети и рекламу в результатах поиска. В случае установки, перенастраивает браузеры на машине жертвы настраиваются так, чтобы пропускать трафик через прокси-сервер злоумышленников. В еще одной публикация эксперты ЛК описывают свежую волну кибератак на системы видеонаблюдения.
Крайне любопытная уязвимость обнаружена и закрыта в ИИ-помощнике Microsoft Copilot. Ошибка, получившая название EchoLeak, обеспечивает возможность эксфильтрации конфиденциальных данных. С ее помоьщю возможен следующий вариант атаки: злоумышленник присылает жертве e-mail с безобидным содержимым, в котором также содержится скрытый промпт для ИИ-ассистента. Жертва запрашивает у ассистента информацию, которая может быть связана с данным e-mail. Содержимое письма подгружается, и Copilot выполняет скрытые инструкции.
В июньском наборе патчей для продуктов Microsoft также были закрыты серьезные уязвимости в Microsoft Word и клиенте Windows SMB.
Компания Google закрыла уязвимость, которая позволяла узнать привязанный к произвольной учетной записи номер телефона.
Первая уязвимость из трех имеет идентификатор CVE-2025-3052 и была обнаружена компанией Binarly в приложении для перепрошивки UEFI — кода, исполняемого до загрузки операционной системы. Приложение было создано компанией DT Research и предназначалось для обновления прошивки ПК, разрабатываемых этой организацией. В приложении содержалась ошибка, позволяющая полностью обойти систему Secure Boot.
Как и другие подобные приложения, утилита DT Research подписана сертификатом Microsoft, который также используется в процессе загрузки ОС на базе ядра Linux. Собственно уязвимость заключается в том, что приложение не проверяет входящие данные и использует их в качестве указателей в ряде операций записи в оперативную память. В Binarly показали, как эту ошибку в коде могут использовать атакующие для перезаписи важных данных, в том числе — изменять переменную, которая, по сути, отключает Secure Boot в принципе.
В результате выстраивается следующий сценарий теоретической атаки. Злоумышленник кратковременно получает физический доступ к устройству. Задействует уязвимость в утилите компании DT Research. Выводит из строя Secure Boot. Добавляет в процесс загрузки вредоносные модули и наконец перезагружает компьютер, обеспечивая вредоносному коду контроль над операционной системой.
У этой истории есть интересный сюжетный поворот. Для того чтобы уязвимость работала, у атакующего должна быть возможность модификации переменной IhisiParamBuffer, из которой утилита DT Research будет производить чтение данных. В UEFI компании Insyde Software модификация данной переменной заблокирована, в то время как у других разработчиков UEFI ее можно изменять. В устройствах DT Research используется UEFI именно от Insyde Software. Получается, что ошибка в коде определенного производителя ставит под угрозу большое количество устройств, но компьютеры самого производителя уязвимости не подвержены.
Следующая уязвимость с идентификатором CVE-2025-47827 обнаружена исследователем Заком Дидкоттом. Она содержится в модуле igel-flash-driver для ядра Linux, разработанном компанией IGEL Technology. Суть в следюущем: ошибка при верификации криптографической подписи может приводить к загрузке с использованием вредоносной файловой системы.
Третья уязвимость обнаружена исследователем Николаем Шлеем и имеет идентификатор CVE-2025-4275 (он также опубликовал отчет на Хабре здесь и здесь). Николай исследовал работу UEFI на собственном ноутбуке Huawei MateBook 14, в котором используется прошивка UEFI InsydeH2O. Уязвимость позволяет при включенном Secure Boot выполнить произвольный код, подписанный собственноручно сгенерированным сертификатом. Во второй публикации исследователь показывает, как развить атаку и перехватить управление во время обновления прошивки с потенциально более серьезными последствиями.
Что еще произошло
Исследователи «Лаборатории Касперского» разбирают свежую вредоносную программу, маскирующуюся под клиент для ИИ-помощника DeepSeek. Вредоносное приложение продвигается через соцсети и рекламу в результатах поиска. В случае установки, перенастраивает браузеры на машине жертвы настраиваются так, чтобы пропускать трафик через прокси-сервер злоумышленников. В еще одной публикация эксперты ЛК описывают свежую волну кибератак на системы видеонаблюдения.
Крайне любопытная уязвимость обнаружена и закрыта в ИИ-помощнике Microsoft Copilot. Ошибка, получившая название EchoLeak, обеспечивает возможность эксфильтрации конфиденциальных данных. С ее помоьщю возможен следующий вариант атаки: злоумышленник присылает жертве e-mail с безобидным содержимым, в котором также содержится скрытый промпт для ИИ-ассистента. Жертва запрашивает у ассистента информацию, которая может быть связана с данным e-mail. Содержимое письма подгружается, и Copilot выполняет скрытые инструкции.
В июньском наборе патчей для продуктов Microsoft также были закрыты серьезные уязвимости в Microsoft Word и клиенте Windows SMB.
Компания Google закрыла уязвимость, которая позволяла узнать привязанный к произвольной учетной записи номер телефона.
