近年来不时有黑客针对UEFI开机系统下手,打造恶意程序发动攻击,从而绕过操作系统与端点防护机制的侦测,一旦UEFI固件存在相关漏洞,就有可能成为黑客利用的对象,使得安全圈越来越关切、挖掘这类弱点。
本周有两项与UEFI有关的漏洞披露,其中又以卡内基梅隆大学计算机紧急回应团队协调中心(CERT/CC)披露的CVE-2025-4275相当值得留意,此弱点出现在系微(Insyde)的UEFI固件H2O,攻击者能通过不受保护的非挥发性随机访问内存(NVRAM)变量SecureFlashCertData,而能于计算机注入数字凭证,使得攻击者能绕过安全开机(Secure Boot)的防护机制。一旦成功利用漏洞,攻击者就能在操作系统加载之前,执行未经签章或恶意程序代码,从而植入持久性的恶意软件与核心层级的Rookit程序,CVSS风险达到7.8分,Insyde也发布安全公告,推出新版固件修补这项漏洞。
值得留意的是,上述手法植入的恶意软件与Rookit,用户无法通过重开机或是重装操作系统清除,甚至能够成功回避EDR系统的侦测,或是在该系统加载之前完全停用。
另一项能绕过安全开机的漏洞,是由安全企业Binarly找到的内存中断漏洞CVE-2025-3052,此漏洞同样影响Insyde H2O的UEFI固件,起因是他们发现由微软提供第三方UEFI凭证签章的特定模块能触发漏洞,一旦攻击者成功利用,就有机会在计算机开机的过程执行未签署的程序代码,绕过安全开机机制,风险值为6.7,微软获报后于本周发布的6月例行更新(Patch Tuesday)提供修补程序。
针对这项漏洞发现的过程,Binarly指出是他们在恶意软件分析平台VirusTotal找到存在弱点的UEFI应用程序,此工具原专为特定品牌的计算机设计,但由于其中的特定模块采用了广泛信任的Microsoft Corporation UEFI CA 2011密钥签署,而能在大多数计算机上运行。漏洞形成的原因也与NVRAM有关,上述模块从NVRAM变量IhisiParamBuffer读取数据后,未进行验证就当作内存指标使用,导致攻击者可控制写入任意内存位置。
