Gigabyte-Motherboards Durch Heimliche Malware-Bedrohung Gefährdet

Sicherheitsforscher haben vier kritische Schwachstellen in der Firmware von Hunderten von Gigabyte-Motherboards entdeckt, die es Angreifern ermöglichen könnten, heimlich Malware zu installieren, die Betriebssystem-Neuinstallationen überlebt und traditionellen Sicherheitswerkzeugen entgeht.

Die vier hochgradigen Schwachstellen wurden von Forschern des Firmware-Sicherheitsunternehmens Binarly entdeckt, das mit dem CERT-Koordinationszentrum der Carnegie Mellon University (CERT/CC) zusammenarbeitete, um das Problem offenzulegen. Diese Fehler betreffen den System Management Mode (SMM) der Unified Extensible Firmware Interface (UEFI) Firmware – einen ultra-privilegierten Teil der CPU, der für die Handhabung von Low-Level-Systemoperationen konzipiert ist.

Das Ausnutzen dieser Fehler ermöglicht es Angreifern mit Administratorzugang, in geschützten Speicher zu schreiben, was heimliche „Bootkits“ ermöglicht, die aktiv bleiben, selbst nachdem das Betriebssystem neu installiert oder die Festplatte ersetzt wurde.

Über 240 betroffene Motherboard-Modelle

Laut Binarly sind mehr als 240 Gigabyte-Motherboard-Modelle – aus den Produktklassen Consumer, Gaming und Small Business (SMB) – betroffen. Viele davon verwenden ältere Intel-Chipsätze wie den H110, B150 und X150/X170.

Die vier Schwachstellen, die jeweils mit einem Schweregrad von 8,2 auf der CVSS bewertet wurden (klassifiziert als „hoch“), resultieren aus Fehlern in den System Management Interrupt (SMI) Handlern. Diese Fehler ermöglichen unbefugten Zugriff auf den System Management RAM (SMRAM), was Angreifern potenziell erlaubt, Privilegien zu eskalieren und Malware zu installieren, die persistent bleibt.

Die betroffenen Schwachstellen sind:

CVE-2025-7029: Ein Fehler im Software-SMI-Handler (SwSmiInputValue 0xB2), der es Angreifern ermöglicht, das RBX-Register zu manipulieren, das auf kritische Strukturen (OcHeader, OcData) verweist, die in der Energie- und Thermalkonfiguration verwendet werden. Dies kann zu willkürlichen Schreibvorgängen in SMRAM führen und eine Eskalation der SMM-Privilegien zur Folge haben.

CVE?2025?7028: Ein Fehler im SwSmiInputValue 0x20-Handler, der es Angreifern ermöglicht, willkürliche Zeiger über RBX/RCX in Flash-Management-Funktionen (ReadFlash, WriteFlash, EraseFlash, GetFlashInfo) zu übergeben, was willkürlichen Lese-/Schreibzugriff auf SMRAM ermöglicht. Dies ermöglicht einen vollständigen Kompromiss auf SMM-Ebene, einschließlich persistenter Firmware-Implantate.

CVE?2025?7027: Eine Schwachstelle im Software-SMI-Handler (SwSmiInputValue 0xB2), die es einem lokalen Angreifer ermöglicht, sowohl das Ziel als auch den Inhalt von Speicherbeschreibungen zu steuern, indem er nicht validierte Zeiger ausnutzt, einschließlich eines von einer UEFI NVRAM-Variable und eines aus dem RBX-Register. Dies ermöglicht willkürliche Schreibvorgänge in SMRAM, was potenziell zu einer Eskalation der SMM-Privilegien und einem Kompromiss der Firmware führen kann.

CVE?2025?7026: Eine Schwachstelle im Software-SMI-Handler, die es einem lokalen Angreifer ermöglicht, das RBX-Register in SMI-Flash-Routinen zu leiten, was eine Eskalation der SMM-Privilegien und einen langfristigen Kompromiss der Firmware ermöglicht.

Wie ist das passiert?

Der ursprüngliche Anbieter des Firmware-Codes ist American Megatrends Inc. (AMI), einer der weltweit am häufigsten verwendeten Firmware-Anbieter. Die Firmware wird jedoch von Gigabyte angepasst und integriert.

Laut CERT/CC hatte AMI den gleichen anfälligen Code stillschweigend upstream gepatcht und seine OEM-Kunden unter strengen Geheimhaltungsvereinbarungen informiert. Es scheint jedoch, dass Gigabyte entweder diese Patches verpasst hat oder es versäumt hat, diese Fixes zu integrieren und sie in nachgelagerten Gigabyte-Bauten wieder einzuführen.

CERT/CC sagt, es habe Gigabyte Mitte April über die Schwachstellen informiert, was von dem Unternehmen im Juni bestätigt wurde.

Was sollten Sie tun?

Gigabyte hat begonnen, BIOS-Updates über seine Support-Website bereitzustellen, um die Schwachstellen zu beheben. Betroffene Benutzer werden dringend geraten:

Überprüfen Sie die Support-Seite von Gigabyte für Ihr Motherboard-Modell und sehen Sie, ob das neueste Firmware-Update verfügbar ist.

Installieren Sie Updates umgehend, insbesondere auf Systemen, die lokal oder remote von Benutzern mit Administratorrechten zugänglich sein könnten. Selbst wenn Sie denken, dass Sie nicht gefährdet sind, hilft das Patchen, diese potenziellen Angriffe zu verhindern.

Bleiben Sie wachsam für Updates von anderen OEMs, da AMI-Firmware weit verbreitet bei verschiedenen Hardwareherstellern verwendet wird.