Az ESET kutatói 11 olyan régi, Microsoft által digitálisan aláírt rendszerindító komponenst találtak, amelyekkel meg lehetett kerülni a Windows és a Linux rendszerű számítógépeket egyaránt védő UEFI Secure Bootot. A legkorábbi érintett fájlok közül néhány még 2013-ból származik, a Microsoft azonban csak 2026 júniusában vonta vissza a beléjük vetett bizalmat. A Secure Boot feladata, hogy a számítógép bekapcsolása után csak digitálisan hitelesített programok indulhassanak el, mielőtt betöltődik az operációs rendszer. Ezzel elsősorban a bootkitek ellen védekezik, amelyek már a Windows vagy a Linux elindulása előtt működésbe léphetnek, így elrejtőzhetnek a hagyományos vírusirtók és más biztonsági megoldások elől. A problémát az úgynevezett shimek okozták. Ezek olyan kis rendszerindító programok, amelyeket eredetileg azért vezettek be, hogy a különböző Linux-disztribúciók is használhassák a Secure Bootot. A Microsoft aláírja a shim fájlt, az pedig ezt követően ellenőrzi a Linux saját rendszerbetöltőjét, rendszerint a GRUB 2-t, majd az operációs rendszer további elemeit.
A kutatók által megtalált régi shimeket annak idején szabályosan aláírta a Microsoft, több azonban ismert sérülékenységeket tartalmazott, vagy olyan időszakból származott, amikor a később bevezetett biztonsági megoldások még nem léteztek. Ennek ellenére nem kerültek fel a Secure Boot tiltólistájára, így a számítógépek évekkel később is megbízható fájlként kezelték őket. A támadónak még az érintett Linux-disztribúciót vagy programot sem kellett megtalálnia a célba vett számítógépen. Elég volt magával vinnie egy példányt a régi shimből, valamint az általa engedélyezett, sebezhető második rendszerbetöltőből. Ezek segítségével a Secure Boot bekapcsolt állapotában is elindíthatott nem hitelesített kódot.
Az egyik bemutatott támadás egy Oracle Linuxhoz készült shimre és egy 2015 óta ismert sérülékenységet tartalmazó GRUB 2-verzióra épült. A módszerhez nem volt szükség összetett memóriakezelési hibák kihasználására vagy komoly visszafejtési ismeretekre. A kutatók szerint egy megfelelően elkészített fájl és néhány egyszerű rendszerindító parancs is elegendő lehetett. A sikeres támadás után rosszindulatú kód futhatott le még az operációs rendszer elindulása előtt. Ezzel bootkitet lehetett telepíteni, módosított rendszermagot betölteni vagy olyan tartós hozzáférést kialakítani, amely túlélhette a számítógép újraindítását, a háttértár cseréjét, sőt bizonyos esetekben akár az operációs rendszer újratelepítését is.
A sebezhetőség Windows és Linux rendszerű számítógépeket egyaránt érinthetett, amennyiben azok UEFI-je megbízhatónak tekintette a Microsoft külső fejlesztők számára fenntartott, 2011-es tanúsítványát. A Windows 11 fokozottan védett, úgynevezett Secured-core gépein ez a külső hitelesítés alapértelmezés szerint ki lehet kapcsolva, ezért azok nem feltétlenül voltak sebezhetők. A támadás ugyanakkor nem tette lehetővé, hogy bárki az interneten keresztül, egyetlen kattintással átvegye az irányítást egy tetszőleges számítógép felett. A CERT/CC szerint a kihasználáshoz rendszergazdai jogosultságra, fizikai hozzáférésre vagy a rendszerindítási folyamat módosításának más lehetőségére volt szükség. Egy már részben feltört gépen azonban a módszer jelentősen megkönnyíthette a mélyebb és tartósabb fertőzés kialakítását.
Az ESET 2026 februárjában értesítette a CERT/CC-t, amely a Microsofttal és az érintett gyártókkal együtt kezdte meg a hiba kezelését. A Microsoft végül a június 9-én kiadott frissítésben helyezte tiltólistára a 11 sérülékeny fájlt, így a naprakész rendszereknek már el kell utasítaniuk azok elindítását. A javítás a dbx nevű Secure Boot-adatbázist frissíti, amely a visszavont tanúsítványokat és tiltott fájlokat tartalmazza. A Windows-felhasználóknak ezért érdemes telepíteniük a Microsoft legújabb biztonsági frissítéseit. A Linuxot használóknak az operációs rendszerük és a rendszerbetöltő csomagjainak frissítése mellett meg kell győződniük arról is, hogy a legújabb dbx-adatbázis került a gépükre.
A felfedezés nem azt jelenti, hogy a Secure Boot 2013 óta minden számítógépen teljesen hatástalan volt. A probléma inkább azt mutatja meg, hogy a védelmi rendszer csak addig lehet megbízható, amíg a korábban engedélyezett, de később sebezhetőnek bizonyult komponenseket következetesen vissza is vonják. Ebben az esetben ez több fájlnál több mint tíz évig nem történt meg.