UEFI-уязвимости в материнских платах Gigabyte позволяют обходить Secure Boot

Десятки моделей материнских плат Gigabyte с прошивкой UEFI оказались уязвимы к атакам, позволяющим устанавливать вредоносное ПО типа «буткит». Такое ПО невидимо для операционной системы и сохраняется даже после ее переустановки.

Уязвимости позволяют злоумышленнику с локальными или удаленными правами администратора выполнять произвольный код в режиме System Management Mode (SMM) — изолированной от ОС среде с повышенными привилегиями.

Поскольку такие механизмы работают ниже уровня ОС и запускаются при старте системы, вредоносное ПО в этих средах может обходить традиционные механизмы защиты.

UEFI (Unified Extensible Firmware Interface) считается более безопасной системой благодаря функции Secure Boot («Безопасная загрузка»), которая с помощью криптографической проверки гарантирует, что при загрузке используется доверенный код.

Тем не менее, именно на уровне UEFI появляются опасные bootkit-программы (BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce, LoJax), активирующие вредоносный код при каждом запуске системы.

Уязвимы более 240 моделей плат

Компания Binarly, занимающаяся безопасностью прошивок, обнаружила четыре уязвимости в реализации UEFI-прошивки Gigabyte и передала данные в координационный центр CERT/CC при Университете Карнеги-Меллона.

Хотя поставщик оригинальной прошивки — American Megatrends Inc. (AMI) — устранил проблемы, Gigabyte (и, возможно, другие производители) не внедрили исправления в своих прошивках.

Список обнаруженных уязвимостей (все с уровнем опасности 8.2 из 10):

• CVE-2025-7029— ошибка в обработчике OverClockSmiHandler, позволяющая повысить привилегии в SMM
• CVE-2025-7028 — ошибка в SmiFlash, дающая доступ на чтение/запись в SMRAM (может привести к установке вредоносного ПО)
• CVE-2025-7027— возможность записи произвольных данных в SMRAM и модификации прошивки
• CVE-2025-7026— произвольная запись в SMRAM и эскалация привилегий в SMM, что позволяет закрепить вредоносную прошивку

Binarly сообщила, что пострадали более 240 моделей материнских плат с прошивками, выпущенными с конца 2023 года по середину августа 2024 года. Представитель компании уточнил, что затронуто более 100 продуктовых линеек.

Кроме Gigabyte, под удар попали и другие производители, однако их названия пока не разглашаются — до выхода исправлений.

Исследователи Binarly уведомили координационный центр CERT/CC при Университете Карнеги-Меллона 15 апреля, а компания Gigabyte подтвердила наличие уязвимостей 12 июня. Согласно данным CERT/CC, после этого компания начала выпуск обновлений прошивки.

Однако производитель (OEM) до сих пор не опубликовал официальный бюллетень безопасности по этим уязвимостям.

Тем временем основатель и генеральный директор Binarly Алекс Матросов сообщил, что Gigabyte, скорее всего, еще не выпустила исправления. Поскольку многие из этих устройств уже сняты с поддержки, пользователям не стоит рассчитывать на получение обновлений безопасности:

Все четыре уязвимости берут начало в референсном коде AMI. AMI уведомила только платных клиентов под NDA, что привело к годам уязвимостей у конечных производителей.

Похоже, Gigabyte до сих пор не выпустила никаких исправлений, а многие из затронутых устройств уже сняты с поддержки, что означает — они, скорее всего, останутся уязвимыми навсегда.

Для обычных пользователей риск низкий, но для систем в критической инфраструктуре Binarly предлагает бесплатный сканер Risk Hunt, обнаруживающий эти уязвимости.

Пользователям стоит следить за обновлениями прошивок и устанавливать их при появлении.