UEFI 安全启动遭突破，高危漏洞 CVE-2025-3052 威胁数百万PC

发布时间：2025-12-07 15:02:39 作者：玩站小弟

漏洞概况网络安全研究机构BINARLY发现了一个影响UEFI安全启动机制的高危漏洞CVE-2025-3052），该漏洞CVSS评分为8.2分。该漏洞源于一个经微软第三方UEFI证书签名的易受攻击UEF 。

漏洞概况

网络安全研究机构BINARLY发现了一个影响UEFI安全启动机制的安全高危漏洞（CVE-2025-3052），该漏洞CVSS评分为8.2分。启动该漏洞源于一个经微软第三方UEFI证书签名的遭突易受攻击UEFI应用程序，该证书使其在大量设备上获得受信任状态。破高

技术细节

该可被恶意利用的危漏威胁万组件名为Dtbios-efi64-71.22.efi，由微软UEFI CA 2011密钥签名。数百漏洞存在于应用程序对名为"IhisiParamBuffer"的服务器租用安全NVRAM变量的错误处理中——该模块会盲目执行来自该缓冲区的多次内存写入。

BINARLY在报告中解释："攻击者可以在IhisiParamBuffer NVRAM变量中存储任意内存地址，启动当模块运行时，遭突将执行攻击者控制的破高写入操作。"

攻击原理

在研究人员的危漏威胁万概念验证中，香港云服务器展示了具有操作系统级权限的数百本地攻击者如何覆写指向gSecurity2结构的指针——这是执行安全启动检查的关键组件。通过在启动序列中将此指针清零，安全攻击者可以完全禁用安全启动，启动从而执行未签名的遭突UEFI模块（如bootkit或早期阶段恶意软件）。源码库

BINARLY表示："这个PoC展示了攻击者如何绕过安全启动，在无需用户交互或物理接触设备的情况下加载不受信任的代码。"

影响范围

该签名UEFI二进制文件已在VirusTotal上被发现，由于微软的签名而被广泛信任。BINARLY指出，任何信任微软UEFI CA 2011证书的建站模板系统都可能受到影响——这包括绝大多数启用了安全启动的现代Windows和Linux机器。

不过，利用成功率可能因硬件实现而异。例如，使用Insyde BIOS的设备可能会限制NVRAM变量操作，从而略微减少攻击面——除非与第二个漏洞结合使用。

缓解措施

BINARLY建议采取以下措施：

通过将其Authenticode哈希添加到UEFI撤销列表（dbx数据库）来撤销易受攻击的模板下载EFI二进制文件从应用程序中移除易受攻击的代码，防止用户控制的NVRAM变量执行任意写入审查固件中的NVRAM保护措施，特别是影响引导加载程序行为的变量

Tag：

2023 年三月头号恶意软件：Emotet 开展全新攻击方式
2023 年 4 月，全球领先的网络安全解决方案提供商 Check Point® 软件技术有限公司纳斯达克股票代码：CHKP）发布了其 2023 年 3 月《全球威胁指数》报告。上月，研究人员发现了新
2025-12-07
GDPR罚单开到爽，这家公司贡献了大头
据Cyber News消息，自2018 年欧盟《通用数据保护条例》GDPR）生效以来，6年时间内已有数百家企业因违反这一规则被累计罚款45 亿欧元49 亿美元），其中 Meta 是最大的违规者。依据G
2025-12-07
给系统加上眼睛：服务端监控要怎么做？
在项目的整个生命周期中，运行维护的份量相当重要，几乎与项目研发同等重要。在系统运维阶段，及时发现并解决问题是团队的首要任务。因此，在垂直电商系统的构建初期，运维团队已完成了对机器CPU、内存、磁盘、网
2025-12-07
IBM报告：企业年度数据泄露平均成本已高达488万美元
根据IBM的年度《数据泄露成本报告》，数据泄露的平均成本已上升至488万美元。这意味着，与网络入侵相关的成本同比增长了10%，创下自疫情开始以来最大的涨幅。70%的受泄露组织报告称，数据泄露造成了重大
2025-12-07
POWERSUPPLaY：电源变扬声器，泄漏你的隐私信息
MY TRIP该项研究来自以色列内盖夫本古里安大学的网络安全研究人员Mordechai Guri博士，他演示了一种新型恶意软件—“POWERSUPPLaY”，可以从带有电源设备的
2025-12-07
提升网络安全技能和意识，应常态化开展的四项网络安全演习
1. 网络钓鱼模拟员工应该对网络钓鱼攻击保持警惕。他们不应该打开附件或点击可疑邮件中的链接。但是当人们匆忙时，他们有时会忘记点击，让恶意软件进入他们的机器。被骗可能会导致未经授权的商业交易和严重的财务
2025-12-07