Уязвимости в UEFI Gigabyte позволяют установить буткит вне ОС

Уязвимости в UEFI Gigabyte позволяют установить буткит вне ОС

Уязвимости в UEFI Gigabyte позволяют установить буткит вне ОС

Исследователи из Binarly REsearch обнаружили серьёзные уязвимости в UEFI-прошивке материнских плат Gigabyte. Бреши позволяют атакующим выполнять произвольный код в System Management Mode (SMM) — самом привилегированном режиме работы процессора x86. Проще говоря, это уровень доступа, куда не доберётся ни антивирус, ни операционная система.

В общей сложности описано четыре уязвимости, каждая из которых связана с тем, что прошивка Gigabyte некорректно обрабатывает данные, передаваемые через системные прерывания:

CVE Компонент Суть проблемы Что может сделать атакующий
CVE-2025-7029 Power/Thermal Config Непроверенный указатель регистра RBX Запись в защищённую область SMRAM
CVE-2025-7028 Flash Service SMM Подмена указателя на функцию Получение доступа к операциям с флеш-памятью
CVE-2025-7027 NVRAM Service SMM Двойная разыменовка указателя Запись в SMRAM через переменные конфигурации
CVE-2025-7026 Power Management SMM Непроверенный RBX в команде Запись по любому адресу в SMRAM

 

Для эксплуатации этих уязвимостей злоумышленнику нужны права администратора, после чего он может подготовить регистры и инициировать SMI — системное прерывание, которое вызовет уязвимый код прошивки. Результат — полный контроль над системой, включая возможность:

  • устанавливать незаметные буткиты, переживающие переустановку ОС,
  • отключать защиту прошивки и Secure Boot,
  • сохраняться в скрытой памяти, к которой не имеет доступа обычное ПО.

Особо тревожно, что ошибки в коде были известны давно — оригинальный поставщик прошивки (AMI) выпустил исправления, но они так и не дошли до финальных сборок прошивок Gigabyte. Это яркий пример того, как сбои в цепочке поставок прошивок приводят к реальным рискам для пользователей.

Компания Gigabyte признала проблему и выпустила обновления прошивок, которые уже доступны на её сайте поддержки. Раскрытие уязвимостей проходило при координации с CERT/CC, а Binarly REsearch отмечены за ответственное сообщение о проблеме.

Что делать пользователям:

  • Перейти на сайт поддержки Gigabyte, найти свою модель и установить последнее обновление прошивки.
  • Не откладывать — такие уязвимости позволяют обойти практически любые уровни защиты.
  • В организациях стоит внедрить регулярное обновление прошивок как часть политики управления уязвимостями — это так же важно, как и патчи ОС.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WhatsApp Desktop на Windows позволяет запускать вредоносные .pyz-файлы

Исследователи обнаружили уязвимость, которая может серьёзно ударить по пользователям десктопной версии WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) на Windows. Речь идёт о том, как программа обрабатывает файлы формата .pyz — архивы Python.

Сценарий атаки выглядит максимально просто: злоумышленник присылает в WhatsApp Desktop «невинный» файл, например profile_update.pyz.

Пользователь скачивает его и дважды кликает — и тут в дело вступает установленный на компьютере Python. Windows по умолчанию открывает такие файлы именно через Python, а значит, внутри архива сразу запускается код атакующего.

Что может произойти дальше? По сути, что угодно:

  • установка бэкдора или вымогателя,
  • кража сохранённых паролей и токенов,
  • проникновение в другие машины внутри сети,
  • отправка данных злоумышленникам.

Главная проблема в том, что .pyz выглядит как один цельный файл, а не как привычный исполняемый скрипт. Неспециалисту сложно понять, что перед ним вредоносная программа.

Схожая история недавно была у Telegram Desktop: там тоже допускали запуск таких архивов без предупреждений. Telegram быстро выпустил обновление и заблокировал подобные сценарии.

У WhatsApp же пока другая позиция — в Meta (признана экстремистской и запрещена в России) заявляют, что такие файлы считаются «пользовательскими исполняемыми», и ответственность за запуск лежит на самих пользователях.

Эксперты с этим не согласны: риск очевиден, а миллионы пользователей остаются под угрозой.

Что можно сделать прямо сейчас:

  • переназначить открытие .pyz-файлов в Windows,
  • использовать защитные решения, которые блокируют неожиданные форматы,
  • проверять подозрительные вложения перед запуском,
  • следить за обновлениями WhatsApp Desktop.

Пока Meta (признана экстремистской и запрещена в России) не изменит свою политику, пользователям остаётся самим укреплять защиту. Исследователи надеются, что огласка заставит WhatsApp внести такие же ограничения, как это сделал Telegram.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru