Компания Binarly обнаружила четыре критические уязвимости в прошивках UEFI материнских плат Gigabyte, которые создают серьезную угрозу кибербезопасности. Эти недостатки позволяют злоумышленникам развертывать буткиты — вредоносные программы, работающие на уровне, недоступном для операционной системы и большинства средств защиты.
Масштаб угрозы и технические детали
Обнаруженные уязвимости затрагивают более 240 моделей материнских плат Gigabyte, включая различные ревизии и региональные версии. Проблемные прошивки выпускались с конца 2023 года по середину августа 2024 года, что означает потенциальную угрозу для миллионов пользователей по всему миру.
Все четыре уязвимости получили максимальную оценку 8,2 балла по шкале CVSS, что классифицирует их как критические. Особенность этих недостатков заключается в том, что они позволяют выполнять произвольный код в контексте System Management Mode (SMM) — специальном режиме работы процессора с повышенными привилегиями.
Источник проблемы: American Megatrends Inc.
Первоначальным поставщиком уязвимых прошивок является компания American Megatrends Inc. (AMI), которая разрабатывает эталонный код UEFI для множества производителей материнских плат. После уведомления о проблемах AMI устранила баги в своем коде, однако OEM-производители, включая Gigabyte, до сих пор не внедрили исправления.
Согласно информации CERT/CC, уведомление о уязвимостях было передано Gigabyte 15 апреля 2024 года, а 12 июня компания подтвердила наличие проблем. Несмотря на заявления о выпуске обновлений, публичный бюллетень безопасности так и не появился.
Проблема распространения исправлений
Основатель Binarly Алекс Матросов указывает на системную проблему в индустрии: AMI раскрывает информацию об уязвимостях только платным клиентам в рамках соглашения о неразглашении. Это приводит к тому, что у OEM-производителей критические недостатки остаются незакрытыми годами.
Потенциальные последствия для пользователей
Эксплуатация этих уязвимостей может привести к катастрофическим последствиям для кибербезопасности. Буткиты, установленные через эти недостатки, способны:
• Перехватывать и модифицировать данные до загрузки операционной системы
• Обходить большинство антивирусных решений и систем защиты
• Сохранять присутствие в системе даже после переустановки ОС
• Предоставлять злоумышленникам полный контроль над зараженным устройством
Рекомендации по защите
Для минимизации рисков пользователям материнских плат Gigabyte рекомендуется регулярно проверять наличие обновлений BIOS на официальном сайте производителя. Важно понимать, что многие модели, достигшие окончания поддержки, могут остаться уязвимыми навсегда.
Данная ситуация подчеркивает критическую важность своевременного обновления прошивок и необходимость более прозрачного подхода к раскрытию информации о уязвимостях в индустрии. Пользователи должны осознавать, что безопасность их систем зависит не только от программного обеспечения, но и от низкоуровневых компонентов, таких как прошивки UEFI.
