Материнские платы Gigabyte подвержены скрытой угрозе вредоносного ПО

Исследователи безопасности обнаружили четыре критические уязвимости в прошивке сотен материнских плат Gigabyte, которые могут позволить злоумышленникам незаметно устанавливать вредоносное ПО, которое выживает после переустановки операционной системы и избегает традиционных средств безопасности.

Четыре уязвимости высокой степени серьезности были обнаружены исследователями компании по безопасности прошивок Binarly, которая работала с Центром координации CERT Карнеги-Меллон (CERT/CC) для раскрытия проблемы. Эти недостатки затрагивают режим управления системой (SMM) в унифицированном расширяемом интерфейсе прошивки (UEFI) — ультра-привилегированную часть ЦП, предназначенную для обработки низкоуровневых системных операций.

Эксплуатация этих ошибок позволяет злоумышленникам с правами администратора записывать в защищенную память, что позволяет скрытным «буткитам» оставаться активными даже после переустановки операционной системы или замены жесткого диска.

Более 240 моделей материнских плат подвержены риску

Согласно данным Binarly, более 240 моделей материнских плат Gigabyte — среди потребительских, игровых и малых бизнес-продуктов (SMB) — подвержены риску. Многие из них используют устаревшие чипсеты Intel, такие как H110, B150 и X150/X170.

Четыре уязвимости, каждая из которых имеет оценку серьезности 8.2 по CVSS (классифицируется как «высокая»), возникают из-за недостатков в обработчиках прерываний управления системой (SMI). Эти ошибки позволяют несанкционированный доступ к оперативной памяти управления системой (SMRAM), что потенциально позволяет злоумышленникам повышать привилегии и устанавливать вредоносное ПО, которое остается постоянным.

Затронутые уязвимости:

CVE-2025-7029: Ошибка в обработчике программного обеспечения SMI (SwSmiInputValue 0xB2), которая позволяет злоумышленникам манипулировать регистром RBX, указывающим на критические структуры (OcHeader, OcData), используемые в конфигурации питания и тепла. Это может привести к произвольным записям в SMRAM и привести к повышению привилегий SMM.

CVE?2025?7028: Ошибка в обработчике SwSmiInputValue 0x20, которая позволяет злоумышленникам передавать произвольные указатели через RBX/RCX в функции управления флеш-памятью (ReadFlash, WriteFlash, EraseFlash, GetFlashInfo), позволяя произвольный доступ на чтение/запись в SMRAM. Это позволяет полностью скомпрометировать уровень SMM, включая постоянные имплантаты прошивки.

CVE?2025?7027: Уязвимость в обработчике программного обеспечения SMI (SwSmiInputValue 0xB2), которая позволяет локальному злоумышленнику контролировать как целевой, так и содержимое записей в памяти, используя непроверенные указатели, включая один из переменной UEFI NVRAM и один из регистра RBX. Это позволяет произвольные записи в SMRAM, что потенциально может привести к повышению привилегий SMM и компрометации прошивки.

CVE?2025?7026: Уязвимость в обработчике программного обеспечения SMI, которая позволяет локальному злоумышленнику направлять регистр RBX в процедуры флеш-памяти SMI, позволяя повысить привилегии SMM и долгосрочную компрометацию прошивки.

Как это произошло?

Первоначальным поставщиком кода прошивки является American Megatrends Inc. (AMI), один из самых широко используемых поставщиков прошивок в мире. Однако прошивка настраивается и интегрируется компанией Gigabyte.

Согласно CERT/CC, AMI тихо исправила тот же уязвимый код на верхнем уровне и уведомила своих клиентов OEM в строгих соглашениях о неразглашении. Однако, похоже, что Gigabyte либо пропустила, либо не смогла интегрировать эти исправления и повторно ввела их в сборки Gigabyte.

AMI тихо исправила проблемы ранее и уведомила своих клиентов OEM в строгих соглашениях о неразглашении. Однако, похоже, что Gigabyte либо пропустила, либо не смогла интегрировать эти исправления в свои собственные релизы прошивки.

CERT/CC сообщает, что уведомила Gigabyte об уязвимостях в середине апреля, что было подтверждено компанией в июне.

Что вам делать?

Gigabyte начала выпускать обновления BIOS через свой сайт поддержки для устранения недостатков. Пострадавшим пользователям настоятельно рекомендуется:

Проверьте страницу поддержки Gigabyte для вашей модели материнской платы и посмотрите, доступно ли последнее обновление прошивки.

Срочно установите обновления, особенно на системах, к которым могут получить доступ локально или удаленно пользователи с правами администратора. Даже если вы думаете, что вы не подвержены риску, установка патчей помогает предотвратить эти потенциальные атаки.

Будьте внимательны к обновлениям от других OEM, так как прошивка AMI широко используется различными производителями оборудования.