È stata scoperta una vulnerabilità che compromette il meccanismo di Secure Boot su milioni di dispositivi in tutto il mondo. La falla, catalogata come CVE-2025-3052, permette agli aggressori di aggirare completamente le protezioni di avvio sicuro e installare malware che si nasconde nei livelli più profondi del sistema, molto prima che il sistema operativo venga caricato. Il problema coinvolge praticamente ogni dispositivo che fa affidamento sul certificato "UEFI CA 2011" di Microsoft, una categoria che include la stragrande maggioranza dei PC e server moderni dotati di firmware UEFI.
La scoperta rivela un paradosso inquietante nel panorama della cybersicurezza: uno strumento progettato per aggiornare il BIOS in modo sicuro si è trasformato in un'arma nelle mani dei cybercriminali. Il ricercatore Alex Matrosov di Binarly ha identificato la vulnerabilità analizzando un'utilità di aggiornamento BIOS originariamente destinata a tablet industriali, ma che grazie alla sua firma digitale Microsoft può essere eseguita su qualsiasi sistema con Secure Boot attivo.
L'aspetto più preoccupante della vicenda emerge dalla cronologia della minaccia: il modulo vulnerabile circolava indisturbato almeno dalla fine del 2022, rimanendo nascosto fino al suo caricamento su VirusTotal nel 2024. Questa finestra temporale di oltre due anni suggerisce che potenziali attaccanti potrebbero aver già sfruttato la falla senza lasciare tracce evidenti.
La vulnerabilità si manifesta attraverso un difetto apparentemente banale ma dalle conseguenze devastanti: l'utilità legittima legge una variabile NVRAM modificabile dall'utente chiamata IhisiParamBuffer senza effettuare alcuna validazione dei dati. Quando un attaccante ottiene privilegi amministrativi sul sistema operativo, può manipolare questa variabile per scrivere dati arbitrari in posizioni di memoria critiche durante il processo di avvio UEFI.
Il team di Binarly ha dimostrato la pericolosità del exploit creando un proof-of-concept che azzera la variabile globale gSecurity2, il puntatore che gestisce l'applicazione delle politiche di Secure Boot. Una volta neutralizzata questa protezione, il sistema diventa vulnerabile all'installazione di bootkit, una categoria di malware particolarmente insidiosa che opera a livello di firmware e può rimanere nascosta anche dopo la reinstallazione completa del sistema operativo.
La portata del problema si è rivelata più ampia di quanto inizialmente previsto durante il processo di analisi condotto da Microsoft. L'indagine ha scoperto che la vulnerabilità non colpisce un singolo modulo, ma si estende a 14 moduli diversi, tutti ora aggiunti al database di revoca dbx rilasciato durante il Patch Tuesday di giugno 2025.
Microsoft ha risposto alla minaccia aggiungendo gli hash dei moduli compromessi alla lista di revoca Secure Boot dbx, una misura che impedisce l'esecuzione di questi componenti sui sistemi aggiornati. La timeline della disclosure responsabile mostra come Binarly abbia segnalato la falla al CERT/CC il 26 febbraio 2025, permettendo a Microsoft di preparare una risposta coordinata rilasciata oggi come parte degli aggiornamenti di sicurezza mensili.
La vulnerabilità CVE-2025-3052 non rappresenta un caso isolato nel panorama delle minacce al firmware. Contemporaneamente, il ricercatore Nikolaj Schlej ha divulgato un'altra falla di bypass del Secure Boot, denominata Hydroph0bia e identificata come CVE-2025-4275, che colpisce i firmware basati su Insyde H2O. Questa coincidenza temporale evidenzia come i meccanismi di protezione fondamentali dei sistemi moderni stiano diventando obiettivi sempre più appetibili per i ricercatori di sicurezza e, di conseguenza, per i cybercriminali.
La dimostrazione video rilasciata da Binarly mostra con chiarezza l'efficacia dell'exploit: il proof-of-concept disabilita completamente il Secure Boot e visualizza un messaggio personalizzato prima del caricamento del sistema operativo, una prova tangibile di come un attaccante possa assumere il controllo totale del processo di avvio. Questa capacità di manipolazione rappresenta il livello più profondo di compromissione possibile su un sistema informatico moderno.
L'urgenza della situazione ha spinto sia Binarly che Microsoft a raccomandare l'installazione immediata degli aggiornamenti di sicurezza odierni. La natura della vulnerabilità rende particolarmente critica questa tempistica: una volta che un bootkit si insedia nel firmware, la sua rimozione diventa estremamente complessa e spesso richiede interventi hardware specializzati. La prevenzione attraverso l'aggiornamento del database di revoca rappresenta quindi l'unica difesa efficace per la maggior parte degli utenti e delle organizzazioni.