Координационный центр CERT/CC 18 июня 2026 года опубликовал предупреждение VU#457458 о критической уязвимости в подписанных UEFI-приложениях, которая позволяет обойти механизм Secure Boot. Исследователи из ESET выявили, что множество легитимных бинарных файлов, сертифицированных ведущими производителями оборудования, могут быть использованы для выполнения произвольного кода на этапе до загрузки операционной системы. В качестве первоочередной меры защиты рекомендуется немедленно обновить базу данных запрещенных подписей UEFI (Forbidden Signature Database, DBX).
Детали уязвимости
Проблема связана с тем, что некоторые подписанные UEFI-приложения, включая командную оболочку UEFI Shell и модули загрузчика GRUB2, содержат функции, которые обладают расширенными привилегиями. В частности, речь идет о возможности управления памятью, изменения переменных NVRAM или загрузки сырых драйверов. В обычных условиях эти возможности применяются для диагностики и обслуживания системы, однако при отсутствии строгих механизмов контроля доступа они становятся инструментом атаки.
Исследователи ESET описали сценарий, напоминающий атаку "Bring Your Own Vulnerable Driver" (BYOVD). Злоумышленник, имеющий административные привилегии или физический доступ к системе, может загрузить вредоносный код, используя легитимное подписанное приложение. Поскольку бинарный файл заверен доверенным сертификатом, Secure Boot не блокирует его выполнение. В результате атакующий получает возможность выполнять код на раннем этапе загрузки, до того как будут инициализированы операционная система и средства защиты.
Такой подход позволяет реализовать устойчивое закрепление в системе: например, загружать неподписанные модули ядра или внедрять буткиты, которые сохраняются после перезагрузки и даже после переустановки ОС. Традиционные решения класса EDR (обнаружение и реагирование на конечных точках) не способны отслеживать активность на предзагрузочном этапе, что делает угрозу особенно трудно обнаружимой.
Уязвимость затрагивает широкий круг производителей, включая Acer, AMD, ASUS, Gigabyte, Toshiba и других. В число опасных компонентов входят реализации UEFI Shell, которые экспортируют команды вроде "mm", "dmpstore" и "setvar", а также модули GRUB2, например "insmod". Каждому уязвимому бинарному файлу сопоставлены уникальные хеши Authenticode и SHA256, что позволяет администраторам точно определить наличие угрозы в своей среде.
Для нейтрализации риска CERT/CC и исследователи рекомендуют в первую очередь установить обновления прошивки от соответствующих вендоров. Однако ключевым шагом является обновление списка отзыва DBX. Именно этот реестр запрещает выполнение проблемных приложений на уровне UEFI. Без внесения уязвимых бинарных файлов в DBX система продолжит им доверять, несмотря на установленные патчи.
Необходимость скоординированного раскрытия уязвимости подчеркивает сохраняющиеся сложности в обеспечении безопасности цепочки поставок UEFI. Доверительные отношения между производителями оборудования и разработчиками прошивок, будучи основой Secure Boot, одновременно могут стать вектором атаки, если подписанные компоненты содержат изъяны. Поддержание актуальной базы DBX остается одной из наиболее эффективных защитных мер против угроз, действующих на уровне ниже операционной системы.
Ссылки
