Исследователи компании Binarly выяснили, что десятки моделей материнских плат Gigabyte работают на прошивке UEFI, уязвимой к вредоносным буткитам с обходом Secure Boot. Эти уязвимости позволяют злоумышленникам с правами локального или удалённого администратора выполнять произвольный код в режиме управления системой (SMM) — среде, изолированной от операционной системы (ОС) и обладающей расширенными привилегиями на компьютере.
Механизмы, запускающие код ниже уровня ОС, имеют низкоуровневый доступ к оборудованию и инициируются во время загрузки. Благодаря этому вредоносное ПО в этих средах может обходить традиционные средства защиты системы. Прошивка UEFI (Unified Extensible Firmware Interface) более безопасна благодаря функции безопасной загрузки (Secure Boot), которая посредством криптографической проверки гарантирует, что устройство использует безопасный и надёжный код во время загрузки. По этой причине вредоносное ПО уровня UEFI, такое как буткиты BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce, LoJax, может запускать вредоносный код при каждой загрузке.
В реализациях прошивки Gigabyte обнаружены четыре уязвимости. Первоначальным поставщиком прошивки является компания American Megatrends Inc. (AMI), которая устранила проблемы после раскрытия информации в частном порядке. Однако некоторые сборки прошивок OEM, в том числе Gigabyte, не реализовали исправления.
В итоге в реализациях прошивок Gigabyte нашли четыре уязвимости с уровнем серьёзности 8,2. Это:
CVE-2025-7029 — ошибка в обработчике SMI (OverClockSmiHandler), которая может привести к повышению привилегий SMM;
CVE-2025-7028 — ошибка в обработчике SMI (SmiFlash) предоставляет доступ на чтение/запись к оперативной памяти управления системой (SMRAM), что может привести к установке вредоносного ПО;
CVE-2025-7027 — может привести к повышению привилегий SMM и изменению прошивки путём записи произвольного содержимого в SMRAM;
CVE-2025-7026 — позволяет выполнять произвольную запись в SMRAM и может привести к повышению привилегий SMM и постоянной компрометации прошивки.
Уязвимости затронули чуть более 240 моделей материнских плат, включая ревизии, модификации и региональные издания, с обновлениями прошивки между концом 2023 года и серединой августа 2024-го.
Продукты других производителей корпоративных устройств также подвержены этим четырём уязвимостям, но их названия остаются нераскрытыми до тех пор, пока не будут выпущены исправления.
Gigabyte подтвердила наличие уязвимостей 12 июня, после чего уже выпустила обновления прошивки. Однако OEM-производитель не опубликовал бюллетень безопасности о проблемах.
Тем временем основатель и генеральный директор Binarly Алекс Матросов сообщил, что Gigabyte, скорее всего, ещё не выпустила исправления. Поскольку многие продукты уже вышли из эксплуатации, пользователям не следует ожидать каких-либо обновлений безопасности.
«Поскольку все эти четыре уязвимости возникли в референсном коде AMI, AMI раскрыла их некоторое время назад, не разглашая информацию платным клиентам только в рамках соглашения о неразглашении (NDA). Это оказало значительное влияние на поставщиков, остававшихся уязвимыми в течение многих лет», — пояснил Матросов.
Хотя риск для обычных пользователей низок, те, кто работает в критически важных средах, могут оценить его с помощью сканера Risk Hunt от Binarly.
Ещё в 2024 году эксперты Binarly обнаружили в коде прошивки 806 моделей материнских плат производства Acer, Dell, Fujitsu, Gigabyte, HP, Intel, Lenovo и Supermicro тестовый ключ, позволяющий обойти защитную систему UEFI Secure Boot. Эта проблема получила кодовое название PKfail и связана с использованием в прошивках матплат не заслуживающего доверия ключа платформы, сгенерированного AMI.
Источник: habr.com