Latest:
Foto de placa-mãe e CPU, representando hardware potencialmente afetado pela falha Secure Boot CVE-2025-3052
NoticiasTecnologia

Nova falha no Secure Boot permite malware bootkit: aplique o patch agora

Diogo Fernando , , 6 min read

Uma grave vulnerabilidade identificada como CVE-2025-3052 permite que atacantes desativem a proteção Secure Boot em quase todos os computadores com Windows e instalem malware do tipo bootkit. Revelada em 10 de junho de 2025, a falha afeta sistemas que confiam no certificado “UEFI CA 2011” da Microsoft, abrangendo virtualmente todo hardware compatível com Secure Boot.

O que é a vulnerabilidade CVE-2025-3052 no Secure Boot?

O Secure Boot é um recurso de segurança presente em PCs e servidores modernos com firmware UEFI, projetado para garantir que apenas softwares confiáveis sejam carregados durante o processo de inicialização. A nova falha foi descoberta pelo pesquisador Alex Matrosov, da Binarly, ao analisar um utilitário de atualização de BIOS assinado pelo certificado UEFI da Microsoft. Este utilitário, embora originalmente destinado a tablets robustos, pode rodar em qualquer sistema com Secure Boot ativado por confiar nesse certificado amplamente distribuído.

Como funciona o ataque que explora o Secure Boot?

A vulnerabilidade ocorre porque o utilitário de atualização de BIOS lê uma variável NVRAM (IhisiParamBuffer) controlável pelo usuário sem validar seu conteúdo. Um invasor com privilégios administrativos pode manipular essa variável para inserir dados em áreas críticas de memória durante a inicialização UEFI — antes mesmo do carregamento do sistema operacional ou do kernel.

  • O invasor modifica a variável NVRAM usando privilégios administrativos;
  • Utilizando a falha, pode zerar uma variável global chamada gSecurity2;
  • Esta variável é responsável por vincular o protocolo de segurança Secure Boot;
  • Ao ser zerada, libera a execução de módulos UEFI não assinados;
  • Possibilita a instalação de bootkits, que ocultam-se do sistema operacional e desativam outras proteções.

“Esta variável armazena o ponteiro para o Protocolo Arquitetural Security2, usado pelo LoadImage para aplicar o Secure Boot. Ao zerá-la, desativamos efetivamente o Secure Boot, permitindo execução de módulos UEFI não assinados.”

Relatório da Binarly

Quais sistemas estão vulneráveis pelo CVE-2025-3052?

Foram identificados ao menos 14 módulos vulneráveis, e não apenas um como se suspeitava inicialmente: durante o Patch Tuesday de junho de 2025, a Microsoft informou a inclusão de 14 novos hashes na lista de revogação (dbx) do Secure Boot, ampliando o alcance do patch de segurança. Todos os sistemas que confiam no certificado “UEFI CA 2011” da Microsoft estão em risco — ou seja, praticamente qualquer PC ou servidor moderno com UEFI e Secure Boot habilitado.

Como se proteger: aplicando o patch de segurança

A correção envolve atualizar o sistema operacional Windows e o firmware UEFI, garantindo a aplicação da revogação dos módulos comprometidos via atualização da lista dbx. A Microsoft e a Binarly recomendam fortemente que usuários e administradores instalem imediatamente as atualizações de segurança lançadas em 10 de junho de 2025. Para servidores ou ambientes corporativos, é fundamental combinar a atualização do Windows com o firmware do fabricante.

  • Verifique se as atualizações do Windows Update/Janeiro 2025 estão aplicadas;
  • Confirme se o firmware UEFI tem patch disponível — consulte o site do fabricante;
  • Atualize a lista dbx de revogação Secure Boot pelo utilitário próprio;
  • Desconfie de qualquer ferramenta de atualização de BIOS fora dos canais oficiais.

Além disso, outro bypass de Secure Boot, chamado Hydroph0bia (CVE-2025-4275), também foi relatado no mesmo dia, afetando firmware UEFI baseado em Insyde H2O e já recebeu correção mediante nova atualização — reforçando a urgência de manter sistemas e firmware sempre em dia.

Riscos: O que é um bootkit e por que ele ameaça seu sistema?

O bootkit é um tipo de malware que se instala durante o processo de inicialização (boot), antes mesmo que o sistema operacional carregue qualquer mecanismo de defesa. Dessa forma, ele consegue controlar o PC em baixo nível, permanecendo invisível para antivírus tradicionais e até mesmo desativando recursos adicionais de proteção. Com a execução facilitada por uma falha no Secure Boot, ataques envolvendo bootkits se tornam significativamente mais difíceis de detectar e remover.

  • Acesso total ao disco e à memória do sistema;
  • Persistência total (malware sobrevive a reinstalações do sistema operacional);
  • Capacidade de ocultar-se de ferramentas de diagnóstico convencionais;
  • Pode desabilitar outros mecanismos de segurança;
  • Comprometimento de credenciais e dados sensíveis desde o início da inicialização.

Por esses motivos, a correção imediata da falha é essencial para evitar ataques avançados e duradouros.

Referências e recomendações adicionais

Perguntas frequentes

  1. Todos os computadores com Windows estão em risco?

    Sim. A falha impacta praticamente todo hardware moderno com Secure Boot ativado e que confia no certificado Microsoft UEFI CA 2011. Para garantir proteção, instale a atualização dbx e revise o firmware do fabricante. Todos os PCs e servidores com UEFI habilitado estão potencialmente expostos.

  2. Como saber se estou vulnerável ao CVE-2025-3052?

    Se seu equipamento utiliza UEFI e Secure Boot está ativo, considere-se vulnerável até aplicar os patches recentes. Verifique a instalação das atualizações de junho de 2025 via Windows Update e confirme se o firmware está atualizado.

  3. O que fazer caso minha máquina não receba mais atualizações?

    Para equipamentos fora do ciclo de suporte ou sem updates, recomenda-se desabilitar temporariamente o Secure Boot e evitar acesso à internet e mídias externas até adquirir hardware ou firmware atualizáveis. O uso prolongado sem correção expõe a riscos críticos de bootkit.

Considerações finais

A vulnerabilidade CVE-2025-3052 evidencia como falhas no início da cadeia de inicialização podem comprometer todo o sistema, abrindo espaço para ataques sofisticados de bootkit. Mantenha seu sistema operacional, UEFI e revogações dbx sempre atualizados, monitorando comunicados oficiais da Microsoft e do fabricante de seu hardware para investimentos contínuos em segurança digital.

Diogo Fernando

Apaixonado por tecnologia e cultura pop, programo para resolver problemas e transformar vidas. Empreendedor e geek, busco novas ideias e desafios. Acredito na tecnologia como superpoder do século XXI.

Você pode gostar também

ChatGPT traz gravação de reuniões e integrações em cloud

Diogo Fernando

Reinvenção: Trabalhadores de Conhecimento na Era da IA

Diogo Fernando

Microsoft lança patch de emergência para corrigir inicialização do Windows 11

Diogo Fernando

Deixe um comentário Cancelar resposta

Sair da versão mobile