top of page

Placas-Mãe da Gigabyte com vulnerabilidade no Secure Boot

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • há 1 hora
  • 3 min de leitura

Dezenas de modelos de placas-mãe da Gigabyte operam com firmware UEFI que se mostraram vulneráveis a sérios problemas de segurança. Essas falhas permitem a instalação de malware tipo bootkit, que permanece invisível ao sistema operacional (SO) e sobrevive até mesmo a reinstalações completas do software, representando uma ameaça persistente e de difícil detecção.


As vulnerabilidades, que foram descobertas pela empresa de segurança de firmware Binarly, podem permitir que hackers com permissões de administrador, sejam elas locais ou remotas, executem código arbitrário no Modo de Gerenciamento do Sistema (SMM). Este é um ambiente isolado do sistema operacional, com privilégios de acesso muito mais elevados à máquina.


Mecanismos que executam código abaixo do nível do SO possuem acesso de baixo nível ao hardware e são iniciados no momento da inicialização. Por isso, malware operando nesses ambientes consegue contornar as defesas de segurança tradicionais do sistema.


O firmware UEFI (Unified Extensible Firmware Interface) é projetado para ser mais seguro, principalmente devido ao recurso Secure Boot. Este garante, por meio de verificações criptográficas, que um dispositivo utilize apenas código seguro e confiável durante a inicialização.


No entanto, é justamente por essa característica que malware de nível UEFI, como os notórios bootkits (exemplos incluem BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce e LoJax), pode implantar código malicioso a cada inicialização, subvertendo a própria segurança que o UEFI deveria oferecer.


As quatro vulnerabilidades críticas foram encontradas em implementações de firmware da Gigabyte e reveladas por pesquisadores da Binarly, que compartilharam suas descobertas com o CERT Coordination Center (CERT/CC) da Carnegie Mellon University.


O fornecedor original do firmware, American Megatrends Inc. (AMI), já havia corrigido esses problemas após uma divulgação privada. No entanto, algumas compilações de firmware de OEMs (Original Equipment Manufacturers), como as da Gigabyte, não haviam implementado as correções na época.


Nas implementações de firmware da Gigabyte, a Binarly identificou as seguintes vulnerabilidades, todas classificadas com uma alta gravidade, pontuação de 8.2:

  • CVE-2025-7029: Um bug no manipulador SMI (OverClockSmiHandler) que pode levar à escalada de privilégios SMM.

  • CVE-2025-7028: Um bug no manipulador SMI (SmiFlash) que concede acesso de leitura/gravação à RAM de Gerenciamento do Sistema (SMRAM), permitindo a instalação de malware.

  • CVE-2025-7027: Pode levar à escalada de privilégios SMM e à modificação do firmware através da gravação de conteúdo arbitrário na SMRAM.

  • CVE-2025-7026: Permite gravações arbitrárias na SMRAM e pode resultar em escalada de privilégios para SMM e comprometimento persistente do firmware.


A contagem da BleepingComputer aponta para mais de 240 modelos de placas-mãe impactados, incluindo revisões, variantes e edições específicas de região, com firmware atualizado entre o final de 2023 e meados de agosto de 2024. Um representante da Binarly confirmou que "mais de cem linhas de produtos estão afetadas".


Além disso, produtos de outros fornecedores de dispositivos corporativos também são impactados pelas quatro vulnerabilidades, mas seus nomes permanecem em sigilo até que as correções estejam disponíveis.


Pesquisadores da Binarly notificaram o CERT/CC da Carnegie Mellon sobre os problemas em 15 de abril, e a Gigabyte confirmou as vulnerabilidades em 12 de junho, seguida pelo lançamento de atualizações de firmware, conforme o CERT/CC. Contudo, a Gigabyte não publicou um boletim de segurança oficial sobre os problemas reportados pela Binarly.


Alex Matrosov, fundador e CEO da Binarly, informou que a Gigabyte "muito provavelmente não lançou nenhuma correção" e que "muitos dos dispositivos afetados atingiram o status de fim de vida útil, o que significa que provavelmente permanecerão vulneráveis indefinidamente".


Matrosov ressaltou que as vulnerabilidades se originaram do código de referência da AMI, que as divulgou "há algum tempo apenas para clientes pagantes sob NDA, e isso causou efeitos significativos por anos em fornecedores a jusante que permaneceram vulneráveis e sem correção".


Embora o risco para consumidores gerais seja considerado baixo, usuários em ambientes críticos podem avaliar o risco específico com a ferramenta Binarly’s Risk Hunt scanner, que inclui detecção gratuita para as quatro vulnerabilidades.


Computadores de vários OEMs que utilizam placas-mãe Gigabyte podem estar vulneráveis, e, portanto, os usuários são aconselhados a monitorar e aplicar prontamente quaisquer atualizações de firmware que venham a ser lançadas.


Via - BC

 
 
 
bottom of page