Сегодня информационная безопасность становится всё более приоритетной задачей как для корпоративных пользователей, так и для рядовых владельцев ПК. Одним из ключевых защитных механизмов современных устройств является Secure Boot — функция в UEFI-прошивке, которая обеспечивает запуск только доверенного и проверенного программного обеспечения при загрузке системы. Однако недавние исследования выявили серьезные уязвимости в некоторых материнских платах Gigabyte, позволяющие злоумышленникам обходить Secure Boot и внедрять вредоносное ПО на уровне прошивки, что ставит под угрозу безопасность множества устройств. UEFI (Unified Extensible Firmware Interface) — это современный интерфейс прошивки, пришедший на смену устаревшему BIOS. Он обеспечивает не только улучшенную загрузку, но и расширенные возможности безопасности, одним из которых и является Secure Boot.
Этот механизм позволяет подтвердить, что загружаемый код прошел проверку на подлинность с помощью криптографических подписей, препятствуя запуску неподписанных или измененных программных компонентов. В идеале, даже при наличии вредоносного кода в системе Secure Boot не позволит ему запускаться при запуске компьютера. Тем не менее, исследователи компании Binarly выявили четыре критические уязвимости в UEFI-прошивках материнских плат Gigabyte, основанных на коде от American Megatrends Inc. (AMI). Эти уязвимости получили высокий рейтинг опасности — 8.
2 по шкале CVSS, и позволяют злоумышленникам с локальными или удаленными административными правами выполнять произвольный код в так называемом System Management Mode (SMM). Это привилегированная и изолированная среда, независимая от операционной системы, с доступом на очень низком уровне к аппаратным ресурсам. Именно в этой среде вредоносное ПО может остаться незаметным, обходя большинство традиционных защитных механизмов. Перечисленные уязвимости включают ошибки в обработчиках прерываний SMI, которые могут предоставлять возможность эскалации привилегий до уровня SMM, а также позволяют производить произвольные чтение и запись в область памяти SMRAM (System Management RAM). Через такие доступы можно внедрять постоянные вредоносные коды прямо в прошивку, которые сохранятся даже после переустановки операционной системы.
Уязвимость CVE-2025-7029 связана с ошибкой в обработчике OverClockSmiHandler, что ведет к эскалации привилегий в системе. CVE-2025-7028 открывает возможность для чтения и записи в SMRAM через SmiFlash. CVE-2025-7027 и CVE-2025-7026 также позволяют злоумышленникам изменять прошивку и получать контроль на уровне SMM, создавая условия для длительного скрытого присутствия вредоносного кода на устройстве. Стоит отметить, что эти уязвимости исходят из базового кода AMI, который был представлен годами ранее, но приобретает актуальность из-за недостаточно оперативного внедрения исправлений производителями оборудования. Gigabyte, в частности, до недавнего времени не публиковал официальных уведомлений о данной проблеме, а выпуск соответствующих обновлений прошивки оказался фрагментарным и ограниченным по охвату моделей.
Многие устройства уже достигли состояния end-of-life, что означает отсутствие поддержки и обновлений безопасности, и, следовательно, потенциальную постоянную уязвимость. Потенциальная опасность таких уязвимостей заключается в том, что вредоносное ПО, прописанное на уровне UEFI, запускается раньше операционной системы и может обходить все стандартные методы обнаружения антивирусных программ и систем защиты. Это позволит злоумышленникам реализовывать целый спектр атак: от кражи данных и удалённого контроля над системой до создания долговременных скрытых угроз, которые невероятно сложно устранить без перепрошивки материнской платы или полной замены оборудования. Эксперты рекомендуют владельцам устройств на базе Gigabyte внимательно следить за обновлениями BIOS и применять их сразу после выпуска. Использование инструментов от компании Binarly, например Risk Hunt scanner, может помочь выявить наличие уязвимостей на конкретных моделях материнских плат.
Кроме того, специалисты советуют ограничить административные права и обеспечить изоляцию и контроль доступа в локальной сети, чтобы уменьшить возможность удалённого проникновения и эксплуатации уязвимостей. Важно также понимать, что из-за длительного периода не устранения данных дефектов, другие производители, которые используют похожие прошивки AMI в своих продуктах, могут сохранять аналогичные риски. Поэтому предприятиям с критически важными информационными системами рекомендуется проводить аудит используемого оборудования, оценивать риски и, при необходимости, заменять устаревшие устройства или применять дополнительные средства защиты. Несмотря на то, что для обычных домашних пользователей вероятность столкнуться с активной атакой через эти уязвимости ниже, в сегменте корпоративных и государственных учреждений, где ценность защищённости особенно высока, такие риски не стоит недооценивать. Продвинутые вредоносные программы, такие как BlackLotus, CosmicStrand, MoonBounce и другие, уже демонстрируют возможности эксплуатировать уязвимости на уровне прошивки для установления долговременных и невидимых для ОС точек доступа.
В заключение стоит подчеркнуть, что безопасность современных компьютерных систем зависит не только от защищённости операционной системы и пользовательских приложений, но и от надежности базового уровня — прошивок и платформы UEFI. Производителям необходимо ускорить выпуск исправлений и обеспечить прозрачность в информировании клиентов о потенциальных угрозах, а пользователям — регулярно обновлять прошивки и применять оборонные меры для минимизации рисков. Следить за новостями об уязвимостях и своевременно реагировать на обновления — ключ к поддержанию надежной защиты и недопущению проникновения вредоносного ПО на самые низкие уровни системы. В мире, где киберугрозы становятся все изощреннее, игнорирование безопасности UEFI и Secure Boot может обернуться серьезными последствиями для пользователей и бизнеса.
