Опасные уязвимости в прошивках UEFI материнских плат Gigabyte позволяют злоумышленникам выполнять произвольный код в System Management Mode (SMM) - привилегированном режиме процессоров x86, функционирующем вне зоны досягаемости операционных систем и средств защиты. Открытие, сделанное экспертами Binarly Research, затрагивает широкий спектр моделей Gigabyte и раскрывает фундаментальные проблемы в цепочке поставок микропрограммного обеспечения. Уязвимости, получившие идентификаторы CVE-2025-7026, CVE-2025-7027, CVE-2025-7028 и CVE-2025-7029, связаны с некорректной обработкой данных в обработчиках System Management Interrupt (SMI), что открывает путь к записи произвольного кода в защищенную область System Management RAM (SMRAM).
Технический обзор уязвимостей
SMM функционирует на уровне привилегий ring -2, что делает его идеальным плацдармом для внедрения персистентных угроз. Атакующий с административными правами может манипулировать регистрами CPU перед инициированием системных прерываний, обходя механизмы безопасности, включая Secure Boot. Последствия успешной эксплуатации катастрофичны: злоумышленники получают возможность отключать критические функции прошивки, устанавливать необнаруживаемые буткиты, сохраняющиеся после переустановки ОС или замены диска, а также контролировать операции чтения/записи флеш-памяти.
Уязвимость CVE-2025-7029 в компоненте Power/Thermal Config позволяет манипулировать указателем RBX для записи в SMRAM через OcHeader/OcData, тогда как CVE-2025-7028 во Flash Service SMM открывает доступ к управлению операциями с флеш-памятью через повреждение указателей функций. Уязвимость CVE-2025-7027 в NVRAM Service SMM использует двойное разыменование указателей для записи в SMRAM через переменную SetupXtuBufferAddress, а CVE-2025-7026 в Power Management SMM эксплуатирует неконтролируемый указатель RBX в CommandRcx0 для целевой модификации защищенной памяти.
Особую тревогу вызывает универсальность векторов атаки - уязвимости активируются на различных стадиях работы системы: во время ранней загрузки, перехода в спящий режим или восстановления. Это расширяет возможности злоумышленников для скрытного внедрения. Парадоксально, но исправления для данных уязвимостей уже были разработаны американской компанией American Megatrends International (AMI), первоначальным поставщиком микрокода, однако патчи не достигли пользователей из-за разрыва в цепочке обновлений между AMI и Gigabyte. Данный инцидент демонстрирует системный кризис в экосистеме безопасности прошивок: даже при наличии исправлений у вендоров первого уровня, их интеграция конечными производителями оборудования может занимать месяцы или вовсе игнорироваться, оставляя миллионы устройств незащищенными.
Gigabyte подтвердила наличие уязвимостей после скоординированного раскрытия через CERT/CC и выпустила обновления прошивок на своем портале поддержки. Команда реагирования на инциденты (PSIRT) компании сотрудничала с Binarly Research в процессе устранения проблем. Пользователям критически важно немедленно проверить наличие обновлений для конкретных моделей материнских плат - Z690, B760, X670 и других, упомянутых в бюллетенях.
Для корпоративных ИТ-отделов инцидент должен стать сигналом к пересмотру политик управления уязвимостями. Обновления микропрограмм необходимо интегрировать в регулярные циклы патчинга наравне с исправлениями ОС и приложений. Технические специалисты должны внедрять мониторинг целостности UEFI с использованием инструментов вроде CHIPSEC, а также рассматривать аппаратную изоляцию SMM через технологии Intel PTT или AMD PSP. Производителям оборудования следует автоматизировать синхронизацию исправлений с upstream-поставщиками и внедрять системы цифровой подписи прошивок для верификации источников.
Более глубокая проблема, подчеркнутая исследованием Binarly - хроническое недофинансирование безопасности firmware. В отличие от программного обеспечения, микрокод редко проходит регулярные аудиты, а его обновления часто требуют физического доступа к оборудованию, что снижает частоту апдейтов в корпоративных средах. Регуляторам необходимо стимулировать отрасль к принятию стандартов вроде ISO/IEC 19790, специфицирующих требования к защите прошивок. Пока же единственная эффективная мера для пользователей - проактивный контроль версий UEFI через порталы вендоров. Игнорирование уязвимостей данного уровня эквивалентно передаче злоумышленникам ключей от цифровой крепости: после компрометации SMM ни одна система не может считаться доверенной.
Ссылки
- https://kb.cert.org/vuls/id/746790
- https://nvd.nist.gov/vuln/detail/CVE-2025-7026
- https://nvd.nist.gov/vuln/detail/CVE-2025-7027
- https://nvd.nist.gov/vuln/detail/CVE-2025-7028
- https://nvd.nist.gov/vuln/detail/CVE-2025-7029
