Опасная уязвимость в UEFI Gigabyte: буткит может быть установлен вне ОС

Специалисты компании Binarly Research обнаружили критические уязвимости в микропрограммном обеспечении UEFI, применяемом в материнских платах производства Gigabyte. Выявленные недостатки позволяют злоумышленникам исполнять произвольный машинный код в привилегированном режиме System Management Mode (SMM), который недоступен для стандартных антивирусных программ и операционной системы.

В рамках исследования были идентифицированы четыре критические уязвимости, связанные с некорректной обработкой данных при системных прерываниях:

Читайте также

Хватит травить своих детей покупной гадостью: готовлю сладкие батончики по этому рецепту — мелких за уши не оттащишь

1. CVE-2025-7029 (Power/Thermal Config) — уязвимость, использующая непроверенный указатель регистра RBX, что позволяет записывать данные в защищённую область памяти SMRAM.

2. CVE-2025-7028 (Flash Service SMM) — уязвимость, основанная на фальсификации указателя на функцию, предоставляющая несанкционированный доступ к операциям с флеш-памятью.

3. CVE-2025-7027 (NVRAM Service SMM) — уязвимость, вызванная двойной разыменовкой указателя и позволяющая записывать данные в область SMRAM через конфигурационные параметры.

4. CVE-2025-7026 (Power Management SMM) — уязвимость, использующая непроверенное значение регистра RBX в команде, что позволяет записывать данные по произвольному адресу в области SMRAM.

Для эксплуатации данных уязвимостей злоумышленникам необходим привилегированный доступ к системе. Получая административные права, они могут инициировать системное прерывание SMI, что приводит к выполнению уязвимого кода микропрограммы. В результате злоумышленники получают полный контроль над системой, включая установку скрытых буткитов, деактивацию защиты микропрограммы и механизма Secure Boot, а также возможность сохранения данных в скрытой памяти, недоступной для обычного программного обеспечения.

Особую обеспокоенность вызывает тот факт, что указанные проблемы в коде были известны на протяжении значительного времени. Оригинальный поставщик микропрограмм (AMI) разработал и предоставил соответствующие исправления, однако они не были интегрированы в итоговые версии прошивок, выпущенные компанией Gigabyte. Это подчёркивает значимость сбоев в цепочке поставок микропрограмм и их потенциальное влияние на безопасность конечных пользователей.

Компания Gigabyte официально признала наличие проблем и выпустила обновления микропрограмм, доступные на официальном сайте поддержки. Процесс раскрытия уязвимостей происходил в сотрудничестве с CERT/CC, а компания Binarly Research была отмечена за ответственное информирование о выявленных недостатках.

Рекомендации для пользователей:

1. Посетить официальный сайт поддержки Gigabyte.

2. Определить модель материнской платы.

3. Установить последнюю версию микропрограммы.

Рекомендуется не откладывать обновление микропрограмм, так как выявленные уязвимости могут обойти практически любые уровни защиты. В корпоративных средах рекомендуется внедрить политику регулярного обновления микропрограмм как часть стратегии управления уязвимостями, аналогичной обновлению операционной системы, сообщает Anti-Malware.ru.