Placas-mãe Gigabyte Expostas a Ameaça de Malware Silenciosa

Pesquisadores de segurança descobriram quatro vulnerabilidades críticas no firmware de centenas de placas-mãe Gigabyte que poderiam permitir que atacantes instalassem silenciosamente malware que sobrevive a reinstalações do sistema operacional e evade ferramentas de segurança tradicionais.

As quatro vulnerabilidades de alta severidade foram descobertas por pesquisadores da empresa de segurança de firmware Binarly, que trabalhou com o Centro de Coordenação CERT da Universidade Carnegie Mellon (CERT/CC) para divulgar o problema. Essas falhas afetam o modo de gerenciamento de sistema (SMM) da Interface de Firmware Extensível Unificada (UEFI) — uma parte ultra-privilegiada da CPU projetada para lidar com operações de sistema de baixo nível.

Explorar esses bugs permite que atacantes com acesso de administrador escrevam na memória protegida, habilitando “bootkits” furtivos que permanecem ativos mesmo após a reinstalação do sistema operacional ou a substituição do disco rígido.

Mais de 240 Modelos de Placas-mãe Afetados

De acordo com a Binarly, mais de 240 modelos de placas-mãe Gigabyte — em categorias de produtos de consumo, jogos e pequenas empresas (SMB) — estão afetados. Muitas delas usam chipsets Intel mais antigos, como H110, B150 e X150/X170.

As quatro vulnerabilidades, cada uma classificada com uma pontuação de severidade de 8.2 no CVSS (classificadas como “altas”), decorrem de falhas nos manipuladores de Interrupção de Gerenciamento de Sistema (SMI). Esses bugs permitem acesso não autorizado à RAM de Gerenciamento de Sistema (SMRAM), potencialmente permitindo que atacantes escalem privilégios e instalem malware que permanece persistente.

As vulnerabilidades impactadas são:

CVE-2025-7029: Uma falha no manipulador de SMI de Software (SwSmiInputValue 0xB2) que permite que atacantes manipulem o registrador RBX, que aponta para estruturas críticas (OcHeader, OcData) usadas na configuração de energia e térmica. Isso pode levar a gravações arbitrárias na SMRAM e resultar em escalonamento de privilégios SMM.

CVE?2025?7028: Uma falha no manipulador SwSmiInputValue 0x20 que permite que atacantes passem ponteiros arbitrários via RBX/RCX em funções de gerenciamento de flash (ReadFlash, WriteFlash, EraseFlash, GetFlashInfo), permitindo acesso de leitura/gravação arbitrário à SMRAM. Isso possibilita uma comprometimento completo em nível SMM, incluindo implantes de firmware persistentes.

CVE?2025?7027: Uma vulnerabilidade no manipulador de SMI de Software (SwSmiInputValue 0xB2) que permite que um atacante local controle tanto o alvo quanto o conteúdo das gravações de memória explorando ponteiros não validados, incluindo um de uma variável NVRAM UEFI e um do registrador RBX. Isso permite gravações arbitrárias na SMRAM, potencialmente levando a escalonamento de privilégios SMM e comprometimento do firmware.

CVE?2025?7026: Uma vulnerabilidade no manipulador de SMI de Software que permite que um atacante local direcione o registrador RBX para rotinas de flash SMI, possibilitando escalonamento de privilégios SMM e comprometimento de firmware a longo prazo.

Como Isso Aconteceu?

O fornecedor original do código de firmware é a American Megatrends Inc. (AMI), um dos provedores de firmware mais amplamente utilizados globalmente. No entanto, o firmware é personalizado e integrado pela Gigabyte.

De acordo com o CERT/CC, a AMI havia silenciosamente corrigido o mesmo código vulnerável upstream e notificado seus clientes OEM sob estritas acordos de não divulgação. No entanto, parece que a Gigabyte ou perdeu ou não conseguiu integrar essas correções e as reintroduziu nas versões downstream da Gigabyte.

A AMI corrigiu silenciosamente os problemas anteriormente e notificou seus clientes OEM sob estritas acordos de não divulgação. No entanto, parece que a Gigabyte ou perdeu ou não conseguiu integrar essas correções em suas próprias versões de firmware.

O CERT/CC diz que informou a Gigabyte sobre as vulnerabilidades em meados de abril, o que foi confirmado pela empresa em junho.

O Que Você Deve Fazer?

A Gigabyte começou a liberar atualizações de BIOS através de seu site de suporte para corrigir as falhas. Os usuários afetados são fortemente aconselhados a:

Verificar a página de suporte da Gigabyte para o modelo da sua placa-mãe e ver se a atualização de firmware mais recente está disponível.

Instalar atualizações prontamente, particularmente em sistemas que poderiam ser acessados local ou remotamente por usuários com privilégios de administrador. Mesmo que você ache que não está em risco, aplicar patches ajuda a prevenir esses ataques potenciais.

Ficar atento a atualizações de outros OEMs, já que o firmware da AMI é amplamente utilizado entre diferentes fabricantes de hardware.