Уязвимости в UEFI Gigabyte позволяют установить буткит вне ОС

Исследователи из Binarly REsearch обнаружили серьёзные уязвимости в UEFI-прошивке материнских плат Gigabyte. Бреши позволяют атакующим выполнять произвольный код в System Management Mode (SMM) — самом привилегированном режиме работы процессора x86. Проще говоря, это уровень доступа, куда не доберётся ни антивирус, ни операционная система.

В общей сложности описано четыре уязвимости, каждая из которых связана с тем, что прошивка Gigabyte некорректно обрабатывает данные, передаваемые через системные прерывания:

Для эксплуатации этих уязвимостей злоумышленнику нужны права администратора, после чего он может подготовить регистры и инициировать SMI — системное прерывание, которое вызовет уязвимый код прошивки. Результат — полный контроль над системой, включая возможность:

• устанавливать незаметные буткиты, переживающие переустановку ОС,
• отключать защиту прошивки и Secure Boot,
• сохраняться в скрытой памяти, к которой не имеет доступа обычное ПО.

Особо тревожно, что ошибки в коде были известны давно — оригинальный поставщик прошивки (AMI) выпустил исправления, но они так и не дошли до финальных сборок прошивок Gigabyte. Это яркий пример того, как сбои в цепочке поставок прошивок приводят к реальным рискам для пользователей.

Компания Gigabyte признала проблему и выпустила обновления прошивок, которые уже доступны на её сайте поддержки. Раскрытие уязвимостей проходило при координации с CERT/CC, а Binarly REsearch отмечены за ответственное сообщение о проблеме.

Что делать пользователям:

• Перейти на сайт поддержки Gigabyte, найти свою модель и установить последнее обновление прошивки.
• Не откладывать — такие уязвимости позволяют обойти практически любые уровни защиты.
• В организациях стоит внедрить регулярное обновление прошивок как часть политики управления уязвимостями — это так же важно, как и патчи ОС.