Материнские платы Gigabyte под угрозой — UEFI-уязвимости позволяют устанавливать буткиты и обходить Secure Boot

Материнские платы Gigabyte под угрозой — UEFI-уязвимости позволяют устанавливать буткиты и обходить Secure Boot

Изображение: Bruce Wem (unsplash)

Исследователи компании Binarly сообщили о четырёх критических уязвимостях в прошивке UEFI, затрагивающих десятки линеек материнских плат Gigabyte. Эти уязвимости позволяют злоумышленникам внедрять вредоносное ПО на уровне UEFI, в т. ч. буткиты — невидимые для операционной системы компоненты, сохраняющиеся даже после переустановки Windows.

По информации экспертов, все уязвимости связаны с обработчиками SMI (System Management Interrupt) — критически привилегированной средой выполнения, известной как System Management Mode (SMM). Эта область полностью изолирована от операционной системы, что делает её крайне привлекательной для атак. Код, запущенный в SMM, имеет максимальные привилегии на устройстве и не отслеживается традиционными средствами безопасности.

Уязвимые компоненты обнаружены в прошивке American Megatrends Inc. (AMI), которая лежит в основе BIOS/UEFI множества плат, в том числе Gigabyte. Несмотря на то, что AMI устранила уязвимости после приватного уведомления, производитель Gigabyte не включил исправления в своих сборках на момент публикации исследования.

В список обнаруженных уязвимостей входят:

  • CVE-2025-7029 — ошибка в обработчике OverClockSmiHandler, позволяющая получить доступ к SMM и повысить привилегии;
  • CVE-2025-7028 — уязвимость в SmiFlash, открывающая доступ на чтение и запись к области SMRAM, что может привести к установке вредоносного кода;
  • CVE-2025-7027 — позволяет изменить содержимое прошивки через произвольную запись в SMRAM;
  • CVE-2025-7026 — обеспечивает полный доступ к SMRAM и возможность постоянной компрометации прошивки.

Каждая из этих уязвимостей получила высокий уровень серьёзности — 8,2 по шкале CVSS. Злоумышленнику достаточно получить локальный или удалённый административный доступ к системе, чтобы активировать эксплойт и установить постоянное вредоносное ПО, невидимое для антивирусов и не удаляемое стандартными средствами.

По подсчётам исследователей, уязвимости касаются более 240 моделей материнских плат Gigabyte, включая региональные и модифицированные версии. Это подтверждает масштаб проблемы, охватывающей «более ста продуктовых линеек», по заявлению представителя Binarly в ответ на запрос BleepingComputer.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: