Материнские платы Gigabyte оказались уязвимы сразу к четырём критическим проблемам в прошивке UEFI, которые позволяют злоумышленникам внедрять вредоносный код до загрузки операционной системы. Такие атаки могут быть незаметны для традиционных систем защиты и сохраняться даже после переустановки ОС.
Уязвимости касаются System Management Mode (SMM) — особого режима работы, обладающего привилегиями выше, чем у самой операционной системы. Попадание вредоносного кода в эту область позволяет получить полный контроль над системой и обойти любые меры защиты, включая антивирусы, шифрование и контроль целостности.
Хотя UEFI считается более безопасным стандартом благодаря функции Secure Boot, которая проверяет криптографически достоверность запускаемого кода, зловреды на уровне прошивки всё же способны обойти эти механизмы. Такие вредоносные компоненты, как BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce и LoJax, используют этот подход, чтобы закрепиться в системе навсегда.
Команда Binarly, занимающаяся безопасностью прошивок, обнаружила четыре опасные уязвимости в прошивке Gigabyte, созданной на базе кода от American Megatrends Inc. (AMI). Хотя AMI уже исправила проблемы, часть сборок, в том числе от Gigabyte, эти обновления не внедрила. Обнаруженные уязвимости включают:
- CVE-2025-7029 — ошибка в обработчике OverClockSmiHandler, позволяющая повысить привилегии до уровня SMM;
- CVE-2025-7028 — уязвимость в SmiFlash, дающая доступ к защищённой области SMRAM для чтения и записи, что открывает путь к установке вредоносного кода;
- CVE-2025-7027 — возможность произвольной записи в SMRAM и изменения прошивки;
- CVE-2025-7026 — произвольная запись в SMRAM с последующим захватом контроля на уровне SMM.
Все уязвимости получили высокие оценки по шкале CVSS и охватывают более 240 моделей материнских плат Gigabyte, включая их региональные версии и аппаратные ревизии. Обновления затрагивают устройства, выпущенные с конца 2023 года до середины августа 2024 года.
Несмотря на то, что AMI передала исправления ограниченному кругу клиентов по соглашению о неразглашении, многие производители, включая Gigabyte, остались без надёжных обновлений. При этом значительное число затронутых устройств уже достигли статуса «конец жизненного цикла» (End-of-Life), то есть официальная поддержка прекращена, и обновлений безопасности больше не будет.
Gigabyte подтвердила уязвимости 12 июня после уведомления от Binarly и Carnegie Mellon CERT/CC, однако не выпустила публичного уведомления и, по всей видимости, не предоставила пользователям исправления. Некоторые OEM-производители, использующие платы Gigabyte, также оказались под угрозой, но их названия пока не разглашаются до появления обновлений.
Глава Binarly Алекс Матросов отметил, что Gigabyte, вероятно, не намерена устранять проблему, а из-за скрытого характера распространения уязвимостей от AMI производители долгое время оставались уязвимыми. Он добавил, что, учитывая прекращение поддержки ряда устройств, значительная часть систем останется под угрозой бессрочно.
Хотя риск для рядовых пользователей считается умеренным, в критически важных инфраструктурах угроза может быть серьёзной. Для оценки степени уязвимости команда Binarly предлагает бесплатный инструмент Risk Hunt, позволяющий определить наличие этих четырёх проблем на конкретной системе.
Пользователям рекомендуется следить за выходом обновлений прошивки и устанавливать их незамедлительно, особенно в случае использования техники от Gigabyte.