Placas base de Gigabyte expuestas a una amenaza de malware sigiloso

Los investigadores de seguridad han descubierto cuatro vulnerabilidades críticas en el firmware de cientos de placas base de Gigabyte que podrían permitir a los atacantes instalar silenciosamente malware que sobrevive a reinstalaciones del sistema operativo y evade herramientas de seguridad tradicionales.

Las cuatro vulnerabilidades de alta gravedad fueron descubiertas por investigadores de la empresa de seguridad de firmware Binarly, que trabajó con el Centro de Coordinación CERT de la Universidad Carnegie Mellon (CERT/CC) para divulgar el problema. Estos fallos afectan el Modo de Gestión del Sistema (SMM) del firmware de la Interfaz de Firmware Extensible Unificada (UEFI), una parte ultra privilegiada de la CPU diseñada para manejar operaciones de sistema de bajo nivel.

Explotar estos errores permite a los atacantes con acceso de administrador escribir en la memoria protegida, habilitando “bootkits” sigilosos que permanecen activos incluso después de que se reinstala el sistema operativo o se reemplaza el disco duro.

Más de 240 modelos de placas base afectados

Según Binarly, más de 240 modelos de placas base de Gigabyte, en las categorías de consumo, juegos y pequeñas empresas (SMB), están afectados. Muchos de estos utilizan chipsets Intel más antiguos como el H110, B150 y X150/X170.

Las cuatro vulnerabilidades, cada una con una puntuación de gravedad de 8.2 en el CVSS (clasificadas como “altas”), provienen de fallos en los controladores de Interrupción de Gestión del Sistema (SMI). Estos errores permiten el acceso no autorizado a la RAM de Gestión del Sistema (SMRAM), lo que potencialmente permite a los atacantes escalar privilegios e instalar malware que permanece persistente.

Las vulnerabilidades impactadas son:

CVE-2025-7029: Un fallo en el controlador de Software SMI (SwSmiInputValue 0xB2) que permite a los atacantes manipular el registro RBX, que apunta a estructuras críticas (OcHeader, OcData) utilizadas en la configuración de energía y térmica. Esto puede llevar a escrituras arbitrarias en SMRAM y resultar en escalada de privilegios SMM.

CVE?2025?7028: Un fallo en el controlador SwSmiInputValue 0x20 que permite a los atacantes pasar punteros arbitrarios a través de RBX/RCX en funciones de gestión de flash (ReadFlash, WriteFlash, EraseFlash, GetFlashInfo), habilitando acceso de lectura/escritura arbitrario a SMRAM. Esto permite un compromiso completo a nivel SMM, incluidos implantes de firmware persistentes.

CVE?2025?7027: Una vulnerabilidad en el controlador de Software SMI (SwSmiInputValue 0xB2) que permite a un atacante local controlar tanto el objetivo como el contenido de las escrituras de memoria al explotar punteros no validados, incluyendo uno de una variable NVRAM UEFI y uno del registro RBX. Esto permite escrituras arbitrarias en SMRAM, lo que potencialmente lleva a la escalada de privilegios SMM y compromiso del firmware.

CVE?2025?7026: Una vulnerabilidad en el controlador de Software SMI que permite a un atacante local dirigir el registro RBX en rutinas de flash SMI, habilitando la escalada de privilegios SMM y compromiso a largo plazo del firmware.

¿Cómo sucedió esto?

El proveedor original del código de firmware es American Megatrends Inc. (AMI), uno de los proveedores de firmware más utilizados a nivel mundial. Sin embargo, el firmware es personalizado e integrado por Gigabyte.

Según CERT/CC, AMI había parcheado silenciosamente el mismo código vulnerable en la parte superior y notificó a sus clientes OEM bajo estrictos acuerdos de no divulgación. Sin embargo, parece que Gigabyte o bien pasó por alto o no logró integrar esas correcciones y las reintrodujo en las versiones de Gigabyte posteriores.

CERT/CC dice que informó a Gigabyte sobre las vulnerabilidades a mediados de abril, lo que fue confirmado por la empresa en junio.

¿Qué deberías hacer?

Gigabyte ha comenzado a lanzar actualizaciones de BIOS a través de su sitio web de soporte para abordar los fallos. Se aconseja encarecidamente a los usuarios afectados que:

Verifiquen la página de soporte de Gigabyte para su modelo de placa base y vean si la última actualización de firmware está disponible.

Instalen las actualizaciones de inmediato, particularmente en sistemas que podrían ser accedidos local o remotamente por usuarios con privilegios de administrador. Incluso si crees que no estás en riesgo, aplicar parches ayuda a prevenir estos ataques potenciales.

Mantente alerta a las actualizaciones de otros OEM, ya que el firmware de AMI es ampliamente utilizado en diferentes fabricantes de hardware.