Матплаты Gigabyte оказались уязвимы для вредоносного ПО UEFI с обходом Secure Boot

Исследователи компании Binarly выяснили, что десятки моделей материнских плат Gigabyte работают на прошивке UEFI, уязвимой к вредоносным буткитам с обходом Secure Boot. Эти уязвимости позволяют злоумышленникам с правами локального или удалённого администратора выполнять произвольный код в режиме управления системой (SMM) — среде, изолированной от операционной системы (ОС) и обладающей расширенными привилегиями на компьютере.

Механизмы, запускающие код ниже уровня ОС, имеют низкоуровневый доступ к оборудованию и инициируются во время загрузки. Благодаря этому вредоносное ПО в этих средах может обходить традиционные средства защиты системы. Прошивка UEFI (Unified Extensible Firmware Interface) более безопасна благодаря функции безопасной загрузки (Secure Boot), которая посредством криптографической проверки гарантирует, что устройство использует безопасный и надёжный код во время загрузки. По этой причине вредоносное ПО уровня UEFI, такое как буткиты BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce, LoJax, может запускать вредоносный код при каждой загрузке.

В реализациях прошивки Gigabyte обнаружены четыре уязвимости. Первоначальным поставщиком прошивки является компания American Megatrends Inc. (AMI), которая устранила проблемы после раскрытия информации в частном порядке. Однако некоторые сборки прошивок OEM, в том числе Gigabyte, не реализовали исправления.

В итоге в реализациях прошивок Gigabyte нашли четыре уязвимости с уровнем серьёзности 8,2. Это:

CVE-2025-7029 — ошибка в обработчике SMI (OverClockSmiHandler), которая может привести к повышению привилегий SMM;

CVE-2025-7028 — ошибка в обработчике SMI (SmiFlash) предоставляет доступ на чтение/запись к оперативной памяти управления системой (SMRAM), что может