Tietoturvatutkijat ovat löytäneet vakavan haavoittuvuuden (CVE-2025-3052), joka mahdollistaa Secure Boot -suojauksen ohittamisen lähes kaikissa moderneissa tietokoneissa ja palvelimissa. Hyökkääjä voi tämän avulla asentaa bootkit-haittaohjelman, joka toimii jo ennen käyttöjärjestelmän latautumista ja piiloutuu tehokkaasti suojauksilta.
Haavoittuvuus liittyy Microsoftin ”UEFI CA 2011” -varmenteella allekirjoitettuun BIOS-päivitystyökaluun, jota on käytetty laajasti eri laitteilla.
Vulnerable module signed with Microsoft UEFI CA 2011 certificate
Source: Binarly
Kun hyökkääjä saa pääkäyttäjän oikeudet, hän voi hyödyntää tätä työkalua ja muokata UEFI:n käynnistysprosessia niin, että Secure Boot kytkeytyy pois päältä. Tämän jälkeen mikä tahansa haitallinen koodi voi käynnistyä ilman allekirjoitustarkistuksia.
Summary of the UEFI Secure Boot signing and verification process
Source: Binarly
Microsoft julkaisi korjauksen osana kesäkuun 2025 tietoturvapäivityksiä. Korjaus perustuu uuteen dbx-estolistaan, joka estää haavoittuvat moduulit. Käyttäjiä kehotetaan päivittämään järjestelmänsä välittömästi, jotta laitteet eivät jää alttiiksi hyökkäyksille.
Myös toinen Secure Boot -ohitus, joka vaikuttaa Insyde H2O -firmiksiin (CVE-2025-4275, ”Hydroph0bia”), paljastettiin samana päivänä.
Miksi tämä on tärkeää?
Kohde: Käytännössä kaikki laitteet, joissa on Secure Boot ja Microsoftin UEFI CA 2011 -varmenne.
Riskit: Hyökkääjät voivat ohittaa Secure Bootin ja piilottaa haittaohjelman syvälle järjestelmään.
Ratkaisu: Päivitä Windows ja varmista, että Secure Bootin dbx-lista on ajan tasalla.
Ohjeet
Tee Windows Update -päivitykset viipymättä.
Tarkista laitevalmistajan sivulta mahdolliset BIOS/UEFI-päivitykset.
Suosi vain luotettuja ohjelmia ja rajoita järjestelmänvalvojan oikeuksia.
