Schede madri Gigabyte esposte a minacce di malware furtivo

I ricercatori della sicurezza hanno scoperto quattro vulnerabilità critiche nel firmware di centinaia di schede madri Gigabyte che potrebbero consentire agli aggressori di installare silenziosamente malware che sopravvive alle reinstallazioni del sistema operativo e sfugge agli strumenti di sicurezza tradizionali.

Le quattro vulnerabilità ad alta gravità sono state scoperte dai ricercatori della società di sicurezza del firmware Binarly, che ha collaborato con il CERT Coordination Center (CERT/CC) della Carnegie Mellon University per divulgare il problema. Questi difetti interessano la modalità di gestione del sistema (SMM) del firmware Unified Extensible Firmware Interface (UEFI)—una parte ultra-privilegiata della CPU progettata per gestire operazioni di sistema a basso livello.

Sfruttare questi bug consente agli aggressori con accesso admin di scrivere in memoria protetta, abilitando “bootkit” furtivi che rimangono attivi anche dopo la reinstallazione del sistema operativo o la sostituzione del disco rigido.

Oltre 240 modelli di schede madri interessati

Secondo Binarly, più di 240 modelli di schede madri Gigabyte—tra schede consumer, gaming e della classe piccole imprese (SMB)—sono interessati. Molti di questi utilizzano chipset Intel più vecchi come l’H110, B150 e X150/X170.

Le quattro vulnerabilità, ciascuna valutata con un punteggio di gravità di 8.2 sul CVSS (classificata come “alta”), derivano da difetti nei gestori di interruzione di gestione del sistema (SMI). Questi bug consentono l’accesso non autorizzato alla RAM di gestione del sistema (SMRAM), potenzialmente consentendo agli aggressori di elevare i privilegi e installare malware che rimane persistente.

Le vulnerabilità interessate sono:

CVE-2025-7029: Un difetto nel gestore Software SMI (SwSmiInputValue 0xB2) che consente agli aggressori di manipolare il registro RBX, che punta a strutture critiche (OcHeader, OcData) utilizzate nella configurazione di potenza e termica. Questo può portare a scritture arbitrarie in SMRAM e risultare in un’elevazione dei privilegi SMM.

CVE?2025?7028: Un difetto nel gestore SwSmiInputValue 0x20 che consente agli aggressori di passare puntatori arbitrari tramite RBX/RCX nelle funzioni di gestione del flash (ReadFlash, WriteFlash, EraseFlash, GetFlashInfo), abilitando l’accesso in lettura/scrittura arbitraria a SMRAM. Questo consente un compromesso completo a livello SMM, inclusi impianti di firmware persistenti.

CVE?2025?7027: Una vulnerabilità nel gestore Software SMI (SwSmiInputValue 0xB2) che consente a un aggressore locale di controllare sia il target che il contenuto delle scritture in memoria sfruttando puntatori non convalidati, incluso uno da una variabile NVRAM UEFI e uno dal registro RBX. Questo consente scritture arbitrarie in SMRAM, potenzialmente portando a un’elevazione dei privilegi SMM e a un compromesso del firmware.

CVE?2025?7026: Una vulnerabilità nel gestore Software SMI che consente a un aggressore locale di indirizzare il registro RBX nelle routine di flash SMI, abilitando un’elevazione dei privilegi SMM e un compromesso a lungo termine del firmware.

Come è successo?

Il fornitore originale del codice firmware è American Megatrends Inc. (AMI), uno dei fornitori di firmware più utilizzati a livello globale. Tuttavia, il firmware è personalizzato e integrato da Gigabyte.

Secondo CERT/CC, AMI aveva silenziosamente corretto lo stesso codice vulnerabile a monte e notificato i suoi clienti OEM sotto rigorosi accordi di non divulgazione. Tuttavia, sembra che Gigabyte abbia perso o non sia riuscita a integrare quelle correzioni e le abbia reintrodotte nelle build downstream di Gigabyte.

AMI ha silenziosamente corretto i problemi in precedenza e ha notificato i suoi clienti OEM sotto rigorosi accordi di non divulgazione. Tuttavia, sembra che Gigabyte abbia perso o non sia riuscita a integrare quelle correzioni nelle proprie versioni di firmware.

CERT/CC afferma di aver informato Gigabyte delle vulnerabilità a metà aprile, confermato dalla società a giugno.

Cosa dovresti fare?

Gigabyte ha iniziato a rilasciare aggiornamenti BIOS attraverso il proprio sito di supporto per affrontare i difetti. Gli utenti interessati sono fortemente consigliati di:

Controllare la pagina di supporto di Gigabyte per il modello della propria scheda madre e vedere se è disponibile l’ultimo aggiornamento del firmware.

Installare gli aggiornamenti prontamente, in particolare sui sistemi che potrebbero essere accessibili localmente o da remoto da utenti con privilegi admin. Anche se pensi di non essere a rischio, applicare le patch aiuta a prevenire questi potenziali attacchi.

Rimanere in allerta per aggiornamenti da altri OEM, poiché il firmware AMI è ampiamente utilizzato tra diversi produttori di hardware.