Материнские платы Gigabyte уязвимы для вредоносного ПО UEFI, обходящего Secure Boot
Десятки моделей материнских плат Gigabyte работают на прошивке UEFI, уязвимой к уязвимостям безопасности, которые позволяют внедрять вредоносное ПО типа «буткит», невидимое для операционной системы и способное выдерживать переустановки.
Уязвимости могут позволить злоумышленникам с правами локального или удаленного администратора выполнить произвольный код в режиме управления системой (SMM) — среде, изолированной от операционной системы (ОС) и имеющей больше привилегий на машине.
Механизмы, работающие на уровне ниже уровня ОС, имеют низкоуровневый доступ к оборудованию и активируются во время загрузки. Благодаря этому вредоносное ПО в таких средах может обходить традиционные средства защиты системы.
Прошивка UEFI (Unified Extensible Firmware Interface) более безопасна благодаря функции безопасной загрузки, которая с помощью криптографических проверок гарантирует, что устройство использует во время загрузки безопасный и надежный код.
По этой причине вредоносное ПО уровня UEFI, такое как буткиты ( BlackLotus , CosmicStrand , MosaicAggressor , MoonBounce , LoJax ), может развертывать вредоносный код при каждой загрузке.
Затронутые материнские платы
Четыре уязвимости присутствуют в реализациях прошивки Gigabyte и были обнаружены исследователями компании Binarly, занимающейся безопасностью прошивок, которые поделились своими выводами с Координационным центром CERT (CERT/CC) Университета Карнеги-Меллона.
Первоначальным поставщиком прошивки является компания American Megatrends Inc. (AMI), которая устранила неполадки после их раскрытия в частном порядке, однако в некоторых сборках прошивок OEM (например, Gigabyte) исправления на тот момент не были реализованы.
В реализациях прошивки Gigabyte компания Binarly обнаружила следующие уязвимости, все с высоким уровнем серьезности 8,2:
- CVE-2025-7029 : ошибка в обработчике SMI (OverClockSmiHandler), которая может привести к повышению привилегий SMM.
- CVE-2025-7028 : ошибка в обработчике SMI (SmiFlash) открывает доступ на чтение и запись к оперативной памяти управления системой (SMRAM), что может привести к установке вредоносного ПО.
- CVE-2025-7027 : может привести к повышению привилегий SMM и изменению прошивки путем записи произвольного содержимого в SMRAM.
- CVE-2025-7026 : позволяет выполнять произвольную запись в SMRAM и может привести к повышению привилегий до SMM и постоянной компрометации прошивки.
По нашим подсчетам, затронуто чуть более 240 моделей материнских плат, включая модификации, варианты и региональные издания, с прошивками, обновленными в период с конца 2023 года по середину августа 2024 года.
BleepingComputer обратился к Binarly за официальным подсчетом, и представитель компании сообщил нам, что «уязвимость распространяется на более чем сто линеек продуктов».
Продукты других поставщиков корпоративных устройств также подвержены четырем уязвимостям, но их названия остаются неизвестными до тех пор, пока не будут выпущены исправления.
По данным CERT/CC, исследователи Binarly уведомили Carnegie Mellon CERT/CC о проблемах 15 апреля, а Gigabyte подтвердила наличие уязвимостей 12 июня, после чего выпустила обновления прошивки .
Однако производитель оригинального оборудования (OEM) не опубликовал бюллетень безопасности о проблемах безопасности, о которых сообщила Binarly. BleepingComputer отправил поставщику оборудования запрос на комментарий, но мы всё ещё ждём его ответа.
Тем временем основатель и генеральный директор Binarly Алекс Матросов сообщил BleepingComputer, что Gigabyte, скорее всего, ещё не выпустила исправлений. Поскольку многие продукты уже вышли из эксплуатации, пользователям не стоит ожидать каких-либо обновлений безопасности.
«Поскольку все эти четыре уязвимости возникли из справочного кода AMI, AMI раскрыла эти уязвимости некоторое время назад, предоставив их в тайне платным клиентам только в рамках соглашения о неразглашении (NDA), и это оказало значительное влияние на поставщиков в течение многих лет, пока они оставались уязвимыми и не были исправлены» — Алекс Матросов
«Похоже, Gigabyte пока не выпустила никаких исправлений, а многие из затронутых устройств уже достигли статуса окончания срока службы, а это значит, что они, вероятно, останутся уязвимыми на неопределенно долгий срок».
Хотя риск для обычных потребителей по общему признанию низок, те, кто находится в критически важных средах, могут оценить конкретный риск с помощью инструмента-сканера Risk Hunt от Binarly , который включает бесплатное обнаружение четырех уязвимостей.
Компьютеры от различных OEM-производителей, использующие материнские платы Gigabyte, могут быть уязвимы, поэтому пользователям рекомендуется следить за обновлениями прошивки и своевременно устанавливать их.
ОБНОВЛЕНИЕ [14 июля, 13:23 EST]: Статья обновлена комментарием от Binarly, в котором говорится, что четыре уязвимости затрагивают более 100 материнских плат и что они затрагивают продукцию других производителей.
About The Author
