Microsoft가 서명 한 펌웨어 모듈은 안전한 부팅을 우회하는 것으로 밝혀졌으며, 공격자는 광범위한 Windows 랩톱 및 서버 에서이 중요한 보안 기능을 조용히 비활성화 할 수 있습니다. 2025 년 6 월에 공개 된이 취약점은 대상 기계에 대한 관리 및 물리적 액세스가 필요 함에도 불구하고 중대한 위협을 제기합니다.
이 취약점은 컴퓨터 시작 중 하드웨어 초기화를위한 업계 표준 인 UEFI (Unified Extensible 펌웨어 인터페이스)에 있습니다. UEFI는 운영 체제 전에 운영되므로 OS 수준의 보안 방어가로드되기 전에 시스템을 타협하려는 공격자의 주요 대상이됩니다. 연구원들은 심각한 안전한 부트 바이 패스 결함에 대한 이전 발견에 의해 입증 된 바와 같이 UEFI 취약점에 점점 더 집중하고 있습니다.
Binarly 연구자들은 2024 년 11 월 바이러스 총계의 결함이있는 모듈을 확인했습니다.이 모듈은 공항과 같은 공공 환경을위한 견고한 디스플레이를 전문으로하는 공급 업체가 개발 한 것으로 알려졌다. 이 취약점은 UEFI 메모리 손상 문제에서 비롯됩니다. Microsoft 타사 인증서로 무장 한이 모듈은 공격자가 악의적 인 소프트웨어가 운영 체제와 동일한 수준으로로드되는 것을 방지하도록 설계된 UEFI 보안 기능 인 Secure Boot를 시행하는 데 사용되는 중요한 변수를 덮어 쓸 수 있습니다.
Binarly Research 팀은 모듈이 UEFI` ihisiparambuffer` 변수를 읽고 유효성 검사 또는 정신 점검없이 여러 메모리 쓰기 작업을위한 포인터로 사용한다는 것을 발견했습니다. 이러한 검증 부족으로 공격자는`ihisiparambuffer` 변수를 메모리의 임의의 주소로 설정하여 임의의 메모리 쓰기 기능을 부여 할 수 있습니다.
`ihisiparambuffer` 변수는 비 휘발성 RAM (NVRAM)에 저장되며 부츠 사이에 지속되어야하는 변수를 저장하는 데 사용됩니다. NVRAM 변수는 역사적으로 반복적 인 보안 취약점의 원천이었습니다. 2017 WikiLeaks 간행물은 CIA 침투 기술을 자세히 설명 하여이 기관이 NVRAM을 목표로 시스템 부팅을 제어 할 수 있음을 밝혀 냈습니다.
일부 UEFI 분포는`ihisiparambuffer` 변수를 읽기 전용으로 취급하기 때문에이 특정 공격에 면역이지만, 대다수의 시스템이 잠재적으로 위험에 처해 있다고 말합니다. 추가 조사에 따르면이 모듈은 2022 년 10 월 이후 온라인으로 순환했을 수 있습니다.
이 취약점을 성공적으로 이용하면 보안 부팅이 사용되지 않더라도기만적인 보안 자세를 만들어 낼 수 있습니다. Binarly에 의해 통보를 받으면 Microsoft는 동일한 결함이있는 추가 13 개의 펌웨어 모듈을 발견했습니다. 이에 따라 Microsoft는 6 월 패치 화요일 업데이트의 일환으로 14 개의 모듈에 대한 인증서를 취소했습니다.
ISMG의 조수 편집자 인 Prajeet Nair는이 보고서에 기여했습니다. Nair는 사이버 보안 및 OT 개발을 다루는 10 년 이상의 경험을 보유하고 있으며 다양한 뉴스 조직에서 편집 역할을 수행했습니다.
요약하면, Secure Boot를 우회 할 수있는 Microsoft 서명 펌웨어 모듈의 발견은 UEFI 펌웨어의 무결성을 유지하는 데있어 지속적인 과제를 강조합니다. CVE-2025-3052의 취약점은 메모리 손상 결함을 악용하여 안전한 부팅을 무성하게 비활성화 할 수 있습니다. 공격에는 관리 및 물리적 액세스가 필요하지만 광범위한 Windows 시스템에 대한 잠재적 영향이 중요합니다. 영향을받는 모든 모듈에 대한 인증서 취소를 포함한 Microsoft의 응답은이 위협을 완화하는 데 중요한 단계입니다. 그러나이 사건은 UEFI 펌웨어 생태계에서 지속적인 경계 및 강력한 보안 조치의 필요성을 강조합니다.
이 취약점을 통해 공격자는 부팅 프로세스 중에 악의적 인 소프트웨어를로드하는 것을 방지하도록 설계된 중요한 보안 기능 인 Secure Boot를 조용히 비활성화 할 수 있습니다. 이 우회는 사용자의 지식없이 발생할 수 있으며 운영 체제는 맬웨어 및 기타 위협에 취약합니다.
공격에는 관리자 액세스와 대상 기계에 대한 물리적 액세스가 필요하지만 잠재적 영향은 중요합니다. 이러한 권한을 가진 공격자는 취약성을 활용하여 지속적인 맬웨어를 설치하거나 시스템의 보안을 다른 방식으로 손상시킬 수 있습니다.
Microsoft는 2025 년 6 월에 취약점을 해결하기 위해 패치를 발행했습니다. 이 패치는 영향을받는 모듈의 인증서를 취소하여 보안 부팅을 우회하는 데 사용되지 않습니다.
취약점은 UEFI (Unified Extensible 펌웨어 인터페이스)에 있으며 부팅 프로세스 중에 하드웨어를 초기화하는 데 도움이됩니다. UEFI 취약점은 특히 운영 체제가 시작되기 전에 악용 될 수 있기 때문에 감지하고 예방하기가 어렵 기 때문입니다.
Binarly 연구자들은 2024 년 11 월 바이러스 총계에서 결함이있는 모듈을 발견했습니다.이 발견은 위협 지능의 중요성과 잠재적으로 악의적 인 소프트웨어를 식별하는 데 바이러스 총계와 같은 플랫폼의 역할을 강조합니다.
이 모듈은 견고한 디스플레이의 공급 업체에 의해 개발되었으며, 이는 취약점이 산업 및 공개 환경에 사용되는 다양한 장치에 존재할 수 있음을 시사합니다. 이는 공급망 전체에서 보안이 우선 순위가되어야한다는 것을 강조합니다.
결함은 CVE-2025-3052로 추적되며 UEFI 메모리 손상 취약점에서 비롯됩니다. 이 CVE 식별자를 사용하면 보안 전문가가 취약점을 효과적으로 추적하고 개선 할 수 있습니다.
Microsoft 인증서로 서명 된이 모듈을 사용하면 공격자가 보안 부팅의 주요 변수를 덮어 쓸 수 있습니다. 중요한 시스템 설정을 수정하는이 기능은 취약성을 매우 위험하게 만드는 것입니다.
이 모듈은 uefi` ihisiparambuffer` 변수를 읽고 유효성 검사없이 메모리 쓰기 작업을위한 포인터로 사용합니다. 이러한 검증 부족은 메모리 손상 취약점의 근본 원인입니다.
공격자는`ihisiparambuffer ‘변수를 임의의 메모리 주소로 설정하여 메모리의 모든 위치에 쓸 수 있습니다. 이 임의의 메모리 쓰기 기능은 보안 부팅을 비활성화하거나 다른 악의적 인 작업을 수행하는 데 사용될 수 있습니다.
일부 UEFI 분포는`ihisiparambuffer` 변수를 읽기 전용으로 치료하기 때문에 면역이됩니다. 이는 특정 보안 구성 이이 취약점의 위험을 완화시킬 수 있음을 보여줍니다.
이 모듈은 2022 년 10 월 이후 온라인으로 순환했을 수 있으며, 이는 취약성이 상당한 시간 동안 존재했음을 나타냅니다. 이는 정기적 인 보안 업데이트 및 취약성 스캔의 중요성을 강조합니다.
운영 체제는 보안 부팅이 그렇지 않은 경우에도 활성화 된 것처럼 행동 할 수 있으므로 사용자가 타협을 감지하기가 어려워집니다. 이기만적인 행동을 통해 공격자는 탐지되지 않고 시스템의 지속성을 유지할 수 있습니다.
Microsoft는 13 개의 추가 펌웨어 모듈을 동일한 결함을 가진 13 개의 추가 펌웨어 모듈을 발견하여 취약점의 광범위한 특성을 강조했습니다. 이 검색은 펌웨어 및 기타 저수준 소프트웨어의 철저한 보안 감사가 필요하다는 것을 강조합니다.
Microsoft는 6 월 패치 화요일 업데이트에서 14 개의 모듈에 대한 인증서를 취소했습니다. 이 취소는 모듈이 보안 부팅을 우회하는 데 사용되는 것을 방지하여 취약점의 위험을 효과적으로 완화시킵니다.
이 안전한 부트 바이 패스 취약점의 발견 및 개선은 현대 컴퓨터 시스템 보안에있어 지속적인 과제를 강조합니다. 펌웨어 취약점은 특히 감지하고 방지하기가 어려울 수 있기 때문에 특히 관련이 있습니다. 조직은 공급망 전체의 보안 우선 순위를 정하고 이러한 유형의 공격으로부터 보호하기 위해 강력한 보안 조치를 구현해야합니다. 펌웨어 취약점의 위험을 완화하고 안전한 컴퓨팅 환경을 유지하는 데 정기적 인 보안 업데이트, 취약성 스캔 및 위협 인텔리전스가 필수적입니다.
이 사건은 계층 보안의 중요성과 펌웨어에서 운영 체제 및 응용 프로그램에 이르기까지 시스템의 모든 수준에서 취약점을 해결해야한다는 것을 상기시켜줍니다. 보안에 대한 포괄적 인 접근 방식을 취함으로써 조직은 타협 위험을 줄이고 중요한 자산을 보호 할 수 있습니다.
이 취약성과 Microsoft의 응답에 대한 발견은 또한 보안 연구원과 공급 업체 간의 협력의 중요성을 강조합니다. 함께 작업함으로써 취약점을보다 빠르고 효과적으로 식별하고 수정하여 컴퓨팅 생태계의 전반적인 보안을 향상시킬 수 있습니다.
이 사건은 또한 제 3 자 인증서의 보안 및이를 검증하는 데 사용되는 프로세스에 대한 의문을 제기합니다. 영향을받는 모듈에 대한 Microsoft의 인증서 취소는 필요한 단계이지만, 학대 가능성과 인증서 발급 및 관리에 대한 강력한 통제의 필요성을 강조합니다.
