Se ha descubierto que un módulo de firmware firmado por Microsoft omitió el arranque seguro, lo que potencialmente permite a los atacantes deshabilitar silenciosamente esta característica de seguridad crítica en una amplia gama de computadoras portátiles y servidores de Windows. Esta vulnerabilidad, revelada en junio de 2025, plantea una amenaza significativa a pesar de requerir acceso administrativo y físico a la máquina dirigida.
La vulnerabilidad reside en la interfaz de firmware extensible unificada (UEFI), el estándar de la industria para la inicialización de hardware durante el inicio de la computadora. UEFI opera antes del sistema operativo, lo que lo convierte en un objetivo principal para los atacantes que buscan comprometer los sistemas antes de que se carguen las defensas de seguridad a nivel del sistema operativo. Los investigadores se han centrado cada vez más en las vulnerabilidades de la UEFI, como lo demuestra un descubrimiento previo de una fallas de bypass de botas seguras serias.
Los investigadores binarly identificaron el módulo defectuoso en el total del virus en noviembre de 2024. El módulo, desarrollado por un proveedor especializado en pantallas resistentes para entornos públicos como aeropuertos, contenía una vulnerabilidad rastreada como CVE-2025-3052. Esta vulnerabilidad proviene de un problema de corrupción de memoria de UEFI. Armado con un certificado de terceros de Microsoft, el módulo podría permitir a los atacantes sobrescribir una variable crítica utilizada para hacer cumplir el arranque seguro, una función de seguridad de UEFI diseñada para evitar que el software malicioso se cargue al mismo nivel que el sistema operativo.
El equipo de investigación binarly descubrió que el módulo lee la variable UEFI `ihisiparambuffer` y la usa como un puntero para operaciones de escritura de memoria múltiple sin ninguna validación o comprobación de sanidad. Esta falta de validación permite a un atacante establecer la variable ‘ihisiparambuffer` en una dirección arbitraria en la memoria, otorgándoles capacidades arbitrarias de escritura de memoria.
La variable `ihisiparambuffer` se almacena en RAM no volátil (NVRAM), que se utiliza para almacenar variables que necesitan persistir entre botas. Las variables NVRAM han sido históricamente una fuente recurrente de vulnerabilidades de seguridad. Una publicación de WikiLeaks de 2017 detalló las técnicas de penetración de la CIA, revelando que la agencia se dirigió a NVRAM a obtener control sobre el arranque del sistema.
Si bien algunas distribuciones de UEFI son inmunes a este ataque específico porque tratan la variable ‘ihisiparambuffer` como de solo lectura, declaró binarly que la gran mayoría de los sistemas están potencialmente en riesgo. Una investigación adicional reveló que el módulo puede haber circulado en línea desde octubre de 2022.
Una hazaña exitosa de esta vulnerabilidad podría hacer que el sistema operativo se comporte como si el arranque seguro estuviera habilitado, incluso cuando no lo es, creando una postura de seguridad engañosa. Al ser notificado por Binarly, Microsoft descubrió 13 módulos de firmware adicionales con el mismo defecto. En respuesta, Microsoft revocó el certificado para los 14 módulos como parte de su actualización del martes de parche de junio.
Prajeet Nair, editor asistente de ISMG, contribuyó a este informe. Nair tiene más de una década de experiencia que cubre la ciberseguridad y los desarrollos de OT y ha desempeñado roles editoriales en varias organizaciones de noticias.
En resumen, el descubrimiento de un módulo de firmware firmado por Microsoft capaz de omitir el arranque seguro resalta los desafíos continuos para mantener la integridad del firmware de la UEFI. La vulnerabilidad, CVE-2025-3052, permite la deshabilitación silenciosa del arranque seguro al explotar una falla de corrupción de memoria. Aunque el ataque requiere acceso administrativo y físico, su impacto potencial en una amplia gama de sistemas de Windows es significativo. La respuesta de Microsoft, que incluyó revocar los certificados para todos los módulos afectados, es un paso crucial para mitigar esta amenaza. Sin embargo, el incidente subraya la necesidad de una vigilancia continua y medidas de seguridad robustas en el ecosistema de firmware de la UEFI.
La vulnerabilidad permite a los atacantes deshabilitar silenciosamente el arranque seguro, una característica de seguridad crítica diseñada para evitar que el software malicioso se cargue durante el proceso de arranque. Este bypass puede ocurrir sin el conocimiento del usuario, dejando el sistema operativo vulnerable al malware y otras amenazas.
Si bien el ataque requiere acceso de administrador y acceso físico a la máquina objetivo, el impacto potencial es significativo. Un atacante con estos privilegios podría explotar la vulnerabilidad para instalar malware persistente o comprometer la seguridad del sistema de otras maneras.
Microsoft emitió un parche en junio de 2025 para abordar la vulnerabilidad. Este parche revoca los certificados para los módulos afectados, evitando que se usen para evitar el arranque seguro.
La vulnerabilidad se encuentra en la interfaz de firmware extensible unificada (UEFI), que es responsable de inicializar el hardware durante el proceso de arranque. Las vulnerabilidades de la UEFI son particularmente preocupantes porque pueden explotarse antes de que el sistema operativo incluso comience, lo que hace que sean difíciles de detectar y prevenir.
Los investigadores binarly descubrieron el módulo defectuoso en el total del virus en noviembre de 2024. Este descubrimiento destaca la importancia de la inteligencia de amenazas y el papel de plataformas como el total de virus en la identificación de software potencialmente malicioso.
El módulo fue desarrollado por un proveedor de pantallas resistentes, lo que sugiere que la vulnerabilidad puede estar presente en una variedad de dispositivos utilizados en entornos industriales y públicos. Esto subraya la necesidad de que la seguridad sea una prioridad en toda la cadena de suministro.
El defecto se rastrea como CVE-2025-3052 y proviene de una vulnerabilidad de corrupción de memoria de UEFI. Este identificador CVE permite a los profesionales de seguridad rastrear y remediar la vulnerabilidad de manera efectiva.
El módulo, que se firmó con un certificado de Microsoft, permite a un atacante sobrescribir una variable clave para el arranque seguro. Esta capacidad para modificar la configuración crítica del sistema es lo que hace que la vulnerabilidad sea tan peligrosa.
El módulo lee la variable UEFI `ihisiparambuffer` y la usa como un puntero para las operaciones de escritura de memoria sin validación. Esta falta de validación es la causa raíz de la vulnerabilidad de la corrupción de la memoria.
Los atacantes pueden establecer la variable `ihisiparambuffer` en una dirección de memoria arbitraria, lo que les permite escribir en cualquier ubicación en la memoria. Esta capacidad de escritura de memoria arbitraria se puede usar para deshabilitar el arranque seguro o realizar otras acciones maliciosas.
Algunas distribuciones de UEFI son inmunes porque tratan la variable ‘ihisiparambuffer’ como de solo lectura. Esto demuestra que ciertas configuraciones de seguridad pueden mitigar el riesgo de esta vulnerabilidad.
El módulo puede haber circulado en línea desde octubre de 2022, lo que indica que la vulnerabilidad ha estado presente durante una cantidad significativa de tiempo. Esto subraya la importancia de las actualizaciones de seguridad regulares y el escaneo de vulnerabilidad.
El sistema operativo puede comportarse como si Secure Boot esté habilitado incluso cuando no lo es, lo que dificulta que los usuarios detecten el compromiso. Este comportamiento engañoso puede permitir a los atacantes mantener la persistencia en el sistema sin ser detectados.
Microsoft encontró 13 módulos de firmware adicionales con el mismo defecto, destacando la naturaleza generalizada de la vulnerabilidad. Este descubrimiento subraya la necesidad de auditorías de seguridad exhaustivas del firmware y otro software de bajo nivel.
Microsoft revocó el certificado para los 14 módulos en la actualización del martes del parche de junio. Esta revocación evita que los módulos se usen para omitir el arranque seguro, mitigando efectivamente el riesgo de vulnerabilidad.
El descubrimiento y la remediación de esta vulnerabilidad segura de bypass de arranque destacan los desafíos continuos para asegurar los sistemas informáticos modernos. Las vulnerabilidades de firmware son particularmente preocupantes porque pueden ser difíciles de detectar y prevenir. Las organizaciones deben priorizar la seguridad en toda la cadena de suministro e implementar medidas de seguridad sólidas para proteger contra este tipo de ataques. Las actualizaciones de seguridad regulares, el escaneo de vulnerabilidad e inteligencia de amenazas son esenciales para mitigar el riesgo de vulnerabilidades de firmware y mantener un entorno informático seguro.
El incidente sirve como un recordatorio de la importancia de la seguridad en capas y la necesidad de abordar las vulnerabilidades en todos los niveles del sistema, desde el firmware hasta el sistema operativo y las aplicaciones. Al adoptar un enfoque integral de la seguridad, las organizaciones pueden reducir su riesgo de compromiso y proteger sus activos críticos.
El descubrimiento de esta vulnerabilidad y la respuesta de Microsoft también subrayan la importancia de la colaboración entre investigadores de seguridad y proveedores. Al trabajar juntos, pueden identificar y remediar vulnerabilidades de manera más rápida y efectiva, mejorando la seguridad general del ecosistema informático.
El incidente también plantea preguntas sobre la seguridad de los certificados de terceros y los procesos utilizados para validarlos. La revocación de los certificados de Microsoft para los módulos afectados es un paso necesario, pero también destaca el potencial de abuso y la necesidad de controles más fuertes sobre la emisión y gestión de los certificados.
Source: El firmware firmado por Microsoft omite el arranque seguro en Windows
