Diversos modelos de placas-mãe da Gigabyte são executados em firmware UEFI vulnerável a questões de segurança que permitem a instalação de malware bootkit que se torna invisível para o sistema operacional e pode sobreviver a reinstalações.
As vulnerabilidades podem permitir que atacantes com permissões de admin locais ou remotas executem códigos arbitrários no Modo de Gerenciamento do Sistema (SMM), um ambiente isolado do sistema operacional (OS) e com mais privilégios na máquina.
Mecanismos executando códigos abaixo do OS têm acesso de baixo nível ao hardware e são iniciados no momento da inicialização.
Por isso, malwares nesses ambientes podem contornar as defesas de segurança tradicionais do sistema.
O firmware UEFI, ou Unified Extensible Firmware Interface, é mais seguro devido à funcionalidade de Secure Boot que garante, através de verificações criptográficas, que um dispositivo use no momento da inicialização apenas códigos seguros e confiáveis.
Por essa razão, malwares no nível do UEFI como bootkits (BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce, LoJax) podem implantar códigos maliciosos a cada inicialização.
As quatro vulnerabilidades estão nas implementações de firmware da Gigabyte e foram descobertas por pesquisadores da empresa de segurança de firmware Binarly, que compartilharam suas descobertas com o CERT Coordination Center da Universidade Carnegie Mellon (CERT/CC).
O fornecedor original do firmware é a American Megatrends Inc. (AMI), que abordou as questões após uma divulgação privada, mas algumas compilações de firmware OEM (por exemplo, da Gigabyte) não implementaram as correções na época.
Nas implementações de firmware da Gigabyte, a Binarly encontrou as seguintes vulnerabilidades, todas com uma pontuação de gravidade alta de 8.2:
-
CVE-2025-7029
: erro em um manipulador SMI (OverClockSmiHandler) que pode levar à escalada de privilégio de SMM;
-
CVE-2025-7028
: erro em um manipulador SMI (SmiFlash) dá acesso de leitura/escrita à RAM de Gerenciamento do Sistema (SMRAM), o que pode levar à instalação de malware;
-
CVE-2025-7027
: pode levar à escalada de privilégio de SMM e modificar o firmware escrevendo conteúdo arbitrário em SMRAM;
-
CVE-2025-7026
: permite escritas arbitrárias em SMRAM e pode levar à escalada de privilégio para SMM e comprometimento persistente do firmware.
Segundo nossas contas, há um pouco mais de 240 modelos de placas-mãe afetadas - incluindo revisões, variantes e edições específicas de região, com atualizações de firmware entre o final de 2023 e meados de agosto de 2024.
Pesquisadores da Binarly notificaram o CERT/CC da Carnegie Mellon sobre os problemas em 15 de abril e a Gigabyte confirmou as vulnerabilidades em 12 de junho, seguido pela liberação de atualizações de firmware, segundo o CERT/CC.
Contudo, a OEM não publicou um boletim de segurança sobre os problemas de segurança que a Binarly relatou.
Enquanto isso, o fundador e CEO da Binarly, Alex Matrosov, disse ao site BleepingComputer que a Gigabyte provavelmente não lançou correções.
Com muitos dos produtos já tendo alcançado o status de fim de vida, os usuários não devem esperar receber quaisquer atualizações de segurança.
"Parece que a Gigabyte ainda não lançou nenhuma correção e muitos dos dispositivos afetados alcançaram o status de fim de vida útil, o que significa que provavelmente permanecerão vulneráveis indefinidamente."
Embora o risco para os consumidores em geral seja admitidamente baixo, aqueles em ambientes críticos podem avaliar o risco específico com a ferramenta Risk Hunt da Binarly, que inclui detecção gratuita para as quatro vulnerabilidades.
Computadores de vários OEMs que usam placas-mãe Gigabyte podem ser vulneráveis, então é aconselhado que os usuários monitorem as atualizações de firmware e as apliquem prontamente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...