Płyty główne Gigabyte z krytycznymi lukami w UEFI. To kpina co zrobili

Eksperci ds. bezpieczeństwa odkryli cztery krytyczne luki w oprogramowaniu układowym (UEFI) dziesiątek modeli płyt głównych firmy Gigabyte, umożliwiające instalację złośliwego oprogramowania typu bootkit, które potrafi całkowicie ominąć mechanizm Secure Boot.

To poważne naruszenie zabezpieczeń dotyczy ponad 240 modeli płyt głównych wyprodukowanych od końca 2023 roku do połowy sierpnia 2024 roku. Wykorzystanie tych luk daje cyberprzestępcom niemal nieograniczone możliwości przejęcia kontroli nad urządzeniem – jeszcze przed uruchomieniem systemu operacyjnego.

Niewidzialne zagrożenie, którego nie usunie reinstalacja systemu

Zagrożenie dotyczy warstwy systemowej oprogramowania UEFI (następcy BIOS-u), działającej poniżej poziomu systemu operacyjnego. Bootkit, który może zostać zainstalowany za pomocą odkrytych luk, jest praktycznie niewykrywalny i nieusuwalny tradycyjnymi metodami – nawet przez ponowną instalację Windowsa czy sformatowanie dysku.

Mechanizm Secure Boot, który ma chronić komputer przed nieautoryzowanym kodem podczas startu systemu, zostaje skutecznie ominięty. Jak podkreślają eksperci z firmy Binarly, atakujący mogą wykorzystać te podatności do eskalacji uprawnień oraz trwałej modyfikacji firmware’u.

Cztery luki, cztery czerwone flagi

Odkrycia dokonała firma Binarly, specjalizująca się w analizie bezpieczeństwa systemów firmware. Zidentyfikowano cztery luki, którym nadano oznaczenia CVE-2025-7026 do CVE-2025-7029, każdej przyznano wysoką ocenę powagi – aż 8,2 w 10-stopniowej skali CVSS. Najgroźniejsze pozwalają na bezpośredni zapis w pamięci SMRAM (System Management RAM), czyli krytycznym obszarze zarządzania systemem, oraz uruchamianie dowolnego kodu z uprawnieniami SMM (System Management Mode) – trybu, którego system operacyjny nie ma możliwości monitorowania.

Kto zawiódł? Gigabyte, AMI i... czas

Co ciekawe, dostawcą feralnego kodu referencyjnego UEFI jest firma American Megatrends Inc. (AMI) – jeden z głównych graczy w branży firmware’u. AMI, po odkryciu problemu, miało szybko opracować i przekazać poprawki producentom płyt głównych, jednak Gigabyte zwlekało z reakcją. Zgłoszenie trafiło do CERT/CC już 15 kwietnia 2025 roku, ale producent potwierdził istnienie luk dopiero dwa miesiące później, 12 czerwca. Biuletyn bezpieczeństwa opublikowano dopiero 15 lipca – dzień po tym, jak sprawa trafiła do mediów. Co gorsza, wspomniano w nim jedynie o trzech z czterech luk.

Brak poprawek, brak wsparcia – użytkownicy zostają sami

Jak powiedział prezes Binarly, Alex Matrosov, większość modeli, których dotyczy problem, została już oficjalnie wycofana z produkcji i nie otrzyma aktualizacji zabezpieczeń. Co więcej, poprawki od AMI były dystrybuowane wyłącznie na podstawie umów NDA – co ograniczyło możliwość szybkiego reagowania przez producentów.

– „Wygląda na to, że wiele urządzeń pozostanie podatnych na ataki na zawsze” – podsumował Matrosov.

Lista konkretnych modeli zagrożonych płyt głównych nie została ujawniona publicznie, co dodatkowo utrudnia użytkownikom ocenę ryzyka i podjęcie działań ochronnych.

Co mogą zrobić użytkownicy?

Na ten moment jedynym zalecanym działaniem jest regularne sprawdzanie strony producenta pod kątem aktualizacji firmware’u oraz śledzenie informacji publikowanych przez CERT i specjalistyczne portale bezpieczeństwa IT. Użytkownicy, którzy posiadają starsze modele płyt głównych Gigabyte, powinni rozważyć ich wymianę – szczególnie jeśli sprzęt wykorzystywany jest w środowiskach o podwyższonym ryzyku, np. w firmach czy instytucjach administracji publicznej.