Vulnerabilidades encontradas em placas-mãe Gigabyte que permitem bypass de inicialização segura

Várias centenas de modelos de placas-mãe Gigabyte usam firmware UEFI com vulnerabilidades que permitem a introdução de software malicioso (bootkits) que são invisíveis para antivírus e para o sistema operacional, e podem até sobreviver a uma reinstalação deste último.

Fonte da imagem: BleepingComputer

As vulnerabilidades identificadas permitem que invasores com privilégios de administrador local ou remoto executem código arbitrário no modo de gerenciamento do sistema (SMM) — um ambiente isolado do sistema operacional e com privilégios estendidos. Mecanismos que executam código abaixo do nível do sistema operacional têm acesso de baixo nível ao hardware e são iniciados durante a inicialização. Isso permite que malwares nesses ambientes contornem as medidas de segurança tradicionais.

O firmware UEFI (Unified Extensible Firmware Interface) é considerado mais seguro devido ao recurso Secure Boot, que garante que código confiável seja usado na inicialização do sistema por meio de verificação criptográfica. No entanto, malwares de nível UEFI, como bootkits (BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce, LoJax), podem executar código malicioso a cada inicialização.

As implementações de firmware UEFI da Gigabyte contêm quatro vulnerabilidades descobertas por pesquisadores da empresa de segurança digital Binarly. Os especialistas compartilharam suas descobertas com o Centro de Coordenação CERT (CERT/CC) da Universidade Carnegie Mellon.

O fornecedor original do firmware é a American Megatrends Inc. (AMI), que corrigiu as vulnerabilidades após uma notificação privada, mas algumas versões de firmware OEM (por exemplo, Gigabyte) não implementaram as correções na época. A Binarly encontrou as seguintes vulnerabilidades em implementações de firmware da Gigabyte (todas com alto nível de severidade de 8.2):

• CVE-2025-7029 – Um erro no manipulador SMI (OverClockSmiHandler) que pode levar à escalada de privilégios SMM;
• CVE-2025-7028 – Um erro no manipulador SMI (SmiFlash) fornece acesso de leitura/gravação à memória de acesso aleatório de gerenciamento do sistema (SMRAM), abrindo a possibilidade de instalação de malware;
• CVE-2025-7027 – Pode levar à escalada de privilégios SMM e modificação de firmware ao gravar conteúdo arbitrário na SMRAM;
• CVE-2025-7026 – Permite gravações arbitrárias na SMRAM e pode levar à escalada de privilégios da SMM e ao comprometimento permanente do firmware.

De acordo com o BleepingComputer, as vulnerabilidades afetaram pouco mais de 240 modelos de placas-mãe, incluindo várias versões, modificações e edições regionais, com atualizações de firmware lançadas entre o final de 2023 e meados de agosto de 2024. Jornalistas entraram em contato com a Binarly para esclarecimentos, mas, de qualquer forma, estamos falando de dezenas de modelos.

Pesquisadores da Binarly notificaram o Centro de Coordenação CERT/CC sobre as vulnerabilidades em 15 de abril, e a Gigabyte confirmou a presença delas em 12 de junho. Desde então, a empresa lançou atualizações de firmware, de acordo com o CERT/CC. No entanto, o fabricante original (OEM) não publicou um boletim de segurança para as vulnerabilidades. De acordo com o fundador e CEO da Binarly, Alex Matrosov, a Gigabyte provavelmente ainda não lançou patches completos. Além disso, muitos dos modelos afetados já foram descontinuados, e os proprietários não devem esperar atualizações de segurança.

«Como todas essas quatro vulnerabilidades se originaram no código de referência da AMI, a AMI as divulgou há algum tempo, compartilhando discretamente as informações apenas com clientes pagantes, sob um acordo de confidencialidade (NDA). Isso teve consequências graves: os fabricantes deixaram as placas vulneráveis por anos sem lançar atualizações. Parece que a Gigabyte ainda não publicou uma correção, e muitas das placas afetadas atingiram o fim de sua vida útil, o que significa que permanecerão com essas vulnerabilidades por tempo indeterminado”, comentou Alex Matrosov.

Observa-se que o risco para usuários comuns permanece baixo. No entanto, aqueles que trabalham em ambientes críticos são aconselhados a usar o scanner Risk Hunt da Binarly, que permite determinar a presença dessas quatro vulnerabilidades gratuitamente.