Cartes Mères Gigabyte Exposées À Une Menace de Malware Subtile

Des chercheurs en sécurité ont découvert quatre vulnérabilités critiques dans le firmware de centaines de cartes mères Gigabyte qui pourraient permettre aux attaquants d’installer silencieusement des malwares qui survivent aux réinstallations du système d’exploitation et échappent aux outils de sécurité traditionnels.

Les quatre vulnérabilités de haute gravité ont été découvertes par des chercheurs de la société de sécurité des firmware Binarly, qui a travaillé avec le CERT Coordination Center de l’Université Carnegie Mellon (CERT/CC) pour divulguer le problème. Ces défauts affectent le mode de gestion système (SMM) du firmware UEFI (Unified Extensible Firmware Interface) — une partie ultra-privilégiée du CPU conçue pour gérer les opérations système de bas niveau.

Exploiter ces bugs permet aux attaquants ayant un accès administrateur d’écrire dans la mémoire protégée, permettant des « bootkits » furtifs qui restent actifs même après la réinstallation du système d’exploitation ou le remplacement du disque dur.

Plus de 240 Modèles de Cartes Mères Affectés

Selon Binarly, plus de 240 modèles de cartes mères Gigabyte — dans les catégories grand public, gaming et petites entreprises (SMB) — sont affectés. Beaucoup d’entre elles utilisent des chipsets Intel plus anciens comme le H110, B150 et X150/X170.

Les quatre vulnérabilités, chacune notée avec un score de gravité de 8.2 sur le CVSS (classées comme « élevées »), proviennent de défauts dans les gestionnaires d’interruptions de gestion système (SMI). Ces bugs permettent un accès non autorisé à la RAM de gestion système (SMRAM), permettant potentiellement aux attaquants d’escalader les privilèges et d’installer des malwares qui restent persistants.

Les vulnérabilités impactées sont :

CVE-2025-7029 : Un défaut dans le gestionnaire SMI logiciel (SwSmiInputValue 0xB2) qui permet aux attaquants de manipuler le registre RBX, qui pointe vers des structures critiques (OcHeader, OcData) utilisées dans la configuration de l’alimentation et de la thermique. Cela peut conduire à des écritures arbitraires dans SMRAM et entraîner une escalade de privilèges SMM.

CVE?2025?7028 : Un défaut dans le gestionnaire SwSmiInputValue 0x20 qui permet aux attaquants de passer des pointeurs arbitraires via RBX/RCX dans les fonctions de gestion de flash (ReadFlash, WriteFlash, EraseFlash, GetFlashInfo), permettant un accès en lecture/écriture arbitraire à SMRAM. Cela permet un compromis complet au niveau SMM, y compris des implants de firmware persistants.

CVE?2025?7027 : Une vulnérabilité dans le gestionnaire SMI logiciel (SwSmiInputValue 0xB2) qui permet à un attaquant local de contrôler à la fois la cible et le contenu des écritures en mémoire en exploitant des pointeurs non validés, y compris un provenant d’une variable NVRAM UEFI et un provenant du registre RBX. Cela permet des écritures arbitraires dans SMRAM, pouvant potentiellement conduire à une escalade de privilèges SMM et à un compromis du firmware.

CVE?2025?7026 : Une vulnérabilité dans le gestionnaire SMI logiciel qui permet à un attaquant local de diriger le registre RBX dans les routines de flash SMI, permettant une escalade de privilèges SMM et un compromis à long terme du firmware.

Comment Cela A-t-il Pu Arriver ?

Le fournisseur original du code firmware est American Megatrends Inc. (AMI), l’un des fournisseurs de firmware les plus utilisés au monde. Cependant, le firmware est personnalisé et intégré par Gigabyte.

Selon CERT/CC, AMI avait discrètement corrigé le même code vulnérable en amont et informé ses clients OEM sous des accords de non-divulgation stricts. Cependant, il semble que Gigabyte ait soit manqué soit échoué à intégrer ces correctifs et les a réintroduits dans les versions en aval de Gigabyte.

AMI a discrètement corrigé les problèmes précédemment et a informé ses clients OEM sous des accords de non-divulgation stricts. Cependant, il semble que Gigabyte ait soit manqué soit échoué à intégrer ces correctifs dans ses propres versions de firmware.

CERT/CC dit avoir informé Gigabyte des vulnérabilités à la mi-avril, ce qui a été confirmé par la société en juin.

Que Devriez-Vous Faire ?

Gigabyte a commencé à publier des mises à jour du BIOS via son site de support pour corriger les défauts. Les utilisateurs affectés sont fortement conseillés de :

Vérifiez la page de support de Gigabyte pour votre modèle de carte mère et voir si la dernière mise à jour du firmware est disponible.

Installez les mises à jour rapidement, en particulier sur les systèmes qui pourraient être accessibles localement ou à distance par des utilisateurs ayant des privilèges administratifs. Même si vous pensez ne pas être à risque, appliquer des correctifs aide à prévenir ces attaques potentielles.

Restez attentif aux mises à jour d’autres OEM, car le firmware AMI est largement utilisé par différents fabricants de matériel.