Microsoft a corrigée une vulnérabilité critique « CVE-2025-3052 » permettant à un attaquant local d’exploiter un utilitaire BIOS UEFI légitime, signé avec le certificat Microsoft « UEFI CA 2011 », pour désactiver Secure Boot sur des systèmes compatibles UEFI. Le module vulnérable exploite une variable « NVRAM »  modifiable (IhisiParamBuffer) sans validation, permettant d’injecter des données arbitraires en mémoire lors du processus de démarrage, avant même le chargement du noyau système.

En modifiant cette variable, un attaquant peut neutraliser la variable critique « gSecurity2 », utilisée par la fonction « LoadImage() » pour appliquer la politique de Secure Boot. Cela rend possible l’exécution de modules UEFI non signés, ouvrant la voie à l’installation de « bootkits » et à la persistance pré-OS, échappant à toute détection par les outils de sécurité classiques.

Microsoft a publié, lors du Patch Tuesday du 10 juin 2025, une mise à jour de la base de révocation Secure Boot (dbx), qui contient les 14 empreintes SHA-256 (hashes) des modules signés identifiés comme vulnérables. Tous les systèmes utilisant Secure Boot doivent appliquer immédiatement cette mise à jour pour bloquer l’exécution de ces modules.

Les utilisateurs peuvent installer la mise à jour automatiquement via Windows Update, ou manuellement via les outils de gestion UEFI pour entreprises.

Le maCERT recommande d’intégrer les indicateurs de compromission (IOCs) ci-dessous au niveau des moyens de détection et d’alerter le maCERT en cas de détection d’une activité relative à cette attaque.