複数のGigabyteファームウェア実装に影響を与える脆弱性により、攻撃者がUEFIセキュリティ機構を無効化し、影響を受けるシステムを制御できる可能性があることが、セキュリティ研究者によって発見されました。
これらの問題は、低レベルのシステム操作を処理し、UEFIがハードウェアと直接やり取りできるようにする高度な特権CPUモードであるSystem Management Mode(SMM)で発見されました。
SMMの操作は保護されたメモリ内で実行され、特定のバッファを利用してデータを処理するSystem Management Interrupt(SMI)ハンドラーを通じてのみアクセス可能です。
しかし、これらのバッファの検証が不適切な場合、攻撃者はオペレーティングシステムがロードされる前に任意のコードを実行できる可能性があり、Gigabyteファームウェアに存在するUEFIモジュールがこのような攻撃にシステムをさらすと、カーネギーメロン大学のCERT Coordination Center(CERT/CC)は警告しています。
「攻撃者はこれらの脆弱性の1つ以上を悪用することで、特権を昇格させ、UEFI対応プロセッサのSMM環境で任意のコードを実行できる可能性があります」とCERT/CCは指摘しています。
これらの問題は当初AMIファームウェアで発見され、ベンダーは以前に非公開で対応していました。しかし現在、Gigabyteファームウェアでも再び発見され、数十の製品が影響を受けていると報告されています。
CVE-2025-7026、CVE-2025-7027、CVE-2025-7028、CVE-2025-7029として追跡されているこれらのバグは、攻撃者が指定したメモリへの書き込み、System Management RAM(SMRAM)への任意の内容の書き込み、重要なフラッシュ操作の制御を可能にします。
「ローカルまたはリモートの管理者権限を持つ攻撃者は、これらの脆弱性を悪用してSystem Management Mode(Ring -2)で任意のコードを実行し、OSレベルの保護をバイパスする可能性があります」とCERT/CCは述べています。
広告。スクロールして続きをお読みください。
これらの脆弱性が悪用されると、攻撃者はSecure Bootを含むUEFIセキュリティ機構を無効化し、ファームウェアバックドアやインプラントを設置してシステムを永続的に制御できる可能性があります。このようなインプラントは、SMMがOSの下で動作するため、従来のエンドポイント保護ツールでは検出されません。
これらのセキュリティ欠陥はBinarlyによって特定・報告されており、同社は、このようなインプラントがOSを再インストールしても残存する可能性があると警告しています。また、これらの脆弱性はハイパーバイザーの一部のメモリ分離をバイパスするためにも利用される可能性があると、同社は指摘しています。
Binarlyによると、Gigabyteは1か月前にこれらの脆弱性を認めました。CERT/CCによれば、Gigabyteは問題を解決するためのファームウェアアップデートを公開しており、ユーザーはベンダーのセキュリティウェブサイトでアップデート手順を確認する必要があります。
関連記事: 重大なOpenWrtの脆弱性によりファームウェアアップデートサーバーが悪用される可能性
翻訳元: https://www.securityweek.com/flaws-in-gigabyte-firmware-allow-security-bypass-backdoor-deployment/