Falha na UEFI da Gigabyte permite execução em modo privilegiado. Vulnerabilidade de firmware UEFI da Gigabyte permite execução de código no modo privilegiado SMM
Foram divulgadas vulnerabilidades críticas de segurança no firmware da placa-mãe Gigabyte que permitem que invasores executem código arbitrário no Modo de Gerenciamento do Sistema (SMM), o nível de execução mais privilegiado em processadores x86.
As falhas, identificadas por pesquisadores de segurança da Binarly REsearch, afetam vários modelos de placas-mãe Gigabyte e decorrem da validação inadequada de manipuladores de interrupção de gerenciamento do sistema (SMI) em módulos de firmware UEFI.
Visão geral técnica das vulnerabilidades
As quatro vulnerabilidades exploram fraquezas na maneira como o firmware UEFI da Gigabyte manipula dados passados pelos buffers de comunicação SMI.
O Modo de Gerenciamento do Sistema opera no nível de privilégio ring -2, abaixo do kernel do sistema operacional, o que o torna um alvo atraente para invasores que buscam estabelecer malware persistente e indetectável que possa sobreviver à reinstalação do sistema operacional e ignorar mecanismos de segurança como o Secure Boot.
| ID CVE | Componente vulnerável | Vetor de Ataque | Impacto |
| CVE-2025-7029 | Configuração de energia/térmica | Ponteiro de registro RBX não verificado | Gravações arbitrárias de SMRAM via manipulação de OcHeader/OcData |
| CVE-2025-7028 | Serviço Flash SMM | Corrupção do ponteiro de função | Controle sobre operações de flash (leitura/gravação/apagamento/obtenção de informações) |
| CVE-2025-7027 | Serviço NVRAM SMM | Desreferência de ponteiro duplo | Gravações arbitrárias de SMRAM por meio da variável SetupXtuBufferAddress |
| CVE-2025-7026 | Gerenciamento de energia SMM | Ponteiro RBX não verificado em CommandRcx0 | Gravar em locais SMRAM especificados pelo invasor |
Um invasor com privilégios administrativos em um sistema pode explorar essas vulnerabilidades manipulando registros da CPU antes de acionar interrupções de gerenciamento do sistema.
As falhas permitem gravar dados arbitrários na RAM de gerenciamento do sistema (SMRAM), uma região de memória protegida que deveria ser inacessível ao software normal.
A exploração bem-sucedida permite que invasores desabilitem recursos críticos de segurança de firmware, instalem bootkits persistentes que sobrevivem à formatação de disco e mantenham o controle do sistema mesmo após a reinstalação completa do sistema operacional.
As vulnerabilidades podem ser acionadas durante vários estados do sistema, incluindo fases iniciais de inicialização, transições de suspensão e modos de recuperação.
Notavelmente, essas vulnerabilidades foram previamente abordadas pela American Megatrends International (AMI), a fornecedora original de firmware, por meio de divulgações de segurança privadas.
No entanto, as correções nunca foram propagadas para as compilações de firmware downstream da Gigabyte, destacando lacunas críticas na cadeia de fornecimento de firmware.
Este incidente demonstra como os patches de segurança podem não chegar aos usuários finais quando os fornecedores OEM não mantêm processos de atualização sincronizados com os fornecedores upstream.
A Gigabyte reconheceu as vulnerabilidades e lançou atualizações de firmware por meio de seu site de suporte.
A Equipe de Resposta a Incidentes de Segurança de Produtos (PSIRT) da empresa colaborou com pesquisadores durante o processo de divulgação coordenada.
É altamente recomendável que os usuários verifiquem imediatamente o portal de suporte da Gigabyte para seu modelo específico de placa-mãe e apliquem as atualizações de firmware disponíveis.
A divulgação foi coordenada pelo CERT/CC, com a Binarly REsearch sendo creditada pela divulgação responsável.
As organizações devem implementar políticas de atualização de firmware como parte de seus programas de gerenciamento de vulnerabilidades, pois essas vulnerabilidades de baixo nível podem prejudicar todos os controles de segurança de nível superior.
Atualizações regulares de firmware devem ser tratadas com a mesma urgência que os patches do sistema operacional, dado seu potencial de comprometimento de todo o sistema.
Fonte: GBHackers
Veja também:
- Brasil é líder no vazamento de ‘cookies’ da web
- Por que os CISOs estão migrando para o modelo SOC como Serviço
- Análise sobre riscos cibernéticos da C&M
- Ciberataques à saúde exigem resposta estratégica e rápida
- Relatório da Cisco Talos alerta como os cibercriminosos usam a IA
- Beephish realiza primeiro hackathon colaborativo
- Webinar: Seja mais produtivo nas gerações de evidênicas, relatórios e investigações
- Ataque cibernético à C&M levanta alerta sobre vulnerabilidades digitais no Brasil
- Resiliência Contra Ransomware: Um Guia de Ações Essenciais
- Maior ataque ao sistema financeiro revela urgência no treinamento
- Crime as a Service: ataques digitais são fruto de ações altamente coordenadas
- Ataques com IA quebram senhas em horas
Be the first to comment