Windows – CVE-2025-3052 : cette faille ouvre la porte à l’installation de malware Bootkits !
Une nouvelle vulnérabilité importante (CVE-2025-3052) permettant de contourner le Secure Boot a été révélée à l'occasion de la sortie du Microsoft Patch Tuesday de juin 2025. Quels sont les risques ? Comment se protéger ? Faisons le point.
CVE-2025-3052 : une menace pour le Secure Boot
Découverte par Alex Matrosov, chercheur chez Binarly, la vulnérabilité CVE-2025-3052 réside dans un utilitaire légitime de mise à jour du BIOS, initialement conçu pour des tablettes robustes. Le problème de sécurité est lié au certificat "UEFI CA 2011" de Microsoft, utilisé pour signer cet utilitaire. Il est approuvé sur la très grande majorité des systèmes supportant le Secure Boot.
"Une vulnérabilité existe dans une application UEFI signée avec un certificat UEFI tiers de Microsoft, ce qui permet à un attaquant de contourner le Secure Boot de l'UEFI.", précise Microsoft.
La faille de sécurité en question est associée à un problème de validation d'une variable NVRAM (dont celle nommée IhisiParamBuffer) par cet utilitaire. Celle-ci est directement lue. Ainsi, si un attaquant dispose des droits d'administrateur sur Windows, il peut modifier cette variable et tirer profit de la vulnérabilité.
"Les attaquants peuvent exploiter cette vulnérabilité pour exécuter du code non signé pendant le processus de démarrage, contournant ainsi Secure Boot et compromettant la chaîne de confiance du système.", peut-on lire.
Cette vulnérabilité ouvre la porte à l'installation de logiciels malveillants de type bootkit sur les ordinateurs vulnérables. "Comme le code de l'attaquant s'exécute avant même le chargement du système d'exploitation, il ouvre la porte aux attaquants pour installer des bootkits et saper les défenses de sécurité au niveau du système d'exploitation.", précisent les chercheurs. Binarly a pu développer un exploit PoC pour exploiter cette vulnérabilité à des fins de démonstration.
Protection du Secure Boot : ce que prévoit le patch de sécurité
Pour protéger ses utilisateurs de la CVE-2025-3052, Microsoft a actualisé la liste de révocation des modules du Secure Boot. La nouvelle base diffusée via la mise à jour de juin 2025 contient 14 nouveaux hash pour assurer une protection complète.
Microsoft a déterminé que le problème n'affectait pas un seul module comme initialement cru, mais en fait 14 modules différents ", explique Binarly dans son rapport. Voilà donc une raison supplémentaire d'installer les mises à jour de juin 2025. Cette vulnérabilité affecte aussi bien Windows que Windows Server, y compris les versions les plus récentes.
À noter qu'une autre vulnérabilité de contournement du Secure Boot, nommée Hydroph0bia (CVE-2025-4275), affectant les firmwares compatibles UEFI basés sur Insyde H2O, a également été divulguée et corrigée par ce même patch.
