Дослідники компанії Binarly виявили чотири критичні уразливості в прошивках UEFI материнських плат Gigabyte, які становлять серйозну загрозу для мільйонів користувачів по всьому світу. Ці недоліки дозволяють кіберзлочинцям розгортати буткіти – небезпечні шкідливі програми, що функціонують на найнижчому рівні системи, залишаючись непомітними для операційної системи та традиційних засобів захисту.
Технічні характеристики та масштаб загрози
Виявлені уразливості впливають на понад 240 моделей материнських плат Gigabyte, включаючи різноманітні ревізії та регіональні варіанти. Проблемні прошивки розповсюджувались з кінця 2023 року до середини серпня 2024 року, що потенційно ставить під загрозу безпеку комп’ютерних систем у глобальному масштабі.
Усі чотири уразливості отримали критичну оцінку 8,2 бала за шкалою CVSS, що свідчить про їх надзвичайну небезпеку. Особливість цих недоліків полягає в можливості виконання довільного коду в контексті System Management Mode (SMM) – спеціального режиму роботи процесора з розширеними привілеями, який має найвищий рівень доступу до системних ресурсів.
Джерело проблеми: American Megatrends Inc.
Первинним джерелом уразливих прошивок є компанія American Megatrends Inc. (AMI), яка розробляє еталонний код UEFI для численних виробників материнських плат. Після отримання інформації про проблеми AMI усунула помилки у своєму коді, проте OEM-виробники, зокрема Gigabyte, досі не впровадили необхідні виправлення.
За даними CERT/CC, повідомлення про уразливості було передано Gigabyte 15 квітня 2024 року, а 12 червня компанія підтвердила існування проблем. Незважаючи на заяви про випуск оновлень, публічний бюлетень безпеки так і не з’явився.
Системна проблема розповсюдження патчів
Засновник Binarly Алекс Матросов вказує на фундаментальну проблему в індустрії: AMI розкриває інформацію про уразливості виключно платним клієнтам в рамках угоди про нерозголошення. Це призводить до ситуації, коли критичні недоліки у OEM-виробників залишаються невиправленими протягом років.
Потенційні наслідки для користувачів
Експлуатація цих уразливостей може призвести до катастрофічних наслідків для кібербезпеки. Буткіти, встановлені через ці недоліки, здатні:
• Перехоплювати та модифікувати дані до завантаження операційної системи
• Обходити більшість антивірусних рішень та систем захисту
• Зберігати присутність у системі навіть після переустановлення ОС
• Надавати зловмисникам повний контроль над зараженим пристроєм
Практичні рекомендації щодо захисту
Для мінімізації ризиків користувачам материнських плат Gigabyte рекомендується регулярно перевіряти наявність оновлень BIOS на офіційному сайті виробника. Важливо розуміти, що багато моделей, які досягли кінця підтримки, можуть залишитись уразливими назавжди.
Ця ситуація підкреслює критичну важливість своєчасного оновлення прошивок та необхідність більш прозорого підходу до розкриття інформації про уразливості в індустрії. Користувачі повинні усвідомлювати, що безпека їх систем залежить не лише від програмного забезпечення, але й від низькорівневих компонентів, таких як прошивки UEFI. Регулярний моніторинг безпеки та своєчасне застосування патчів залишаються ключовими елементами ефективного захисту від сучасних кіберзагроз.
