Se han descubierto vulnerabilidades de seguridad críticas en el firmware de Gigabyte UEFI que podría permitir a los atacantes ejecutar el código arbitrario en el modo de gestión del sistema (SMM), uno de los entornos de ejecución más privilegiados en los procesadores modernos.
Las vulnerabilidades, divulgadas por el Centro de Coordinación CERT del Instituto de Ingeniería de Software el 11 de julio de 2025, afectan múltiples sistemas de gigabyte y podrían permitir a los atacantes evitar las protecciones de seguridad fundamentales, incluidos el arranque seguro y la guarnición de Intel.
Control de llave
1.
2. La explotación omite el arranque seguro e Intel Bootguard, permitiendo malware persistente a nivel de firmware indetectable por antivirus.
3. Sistemas Gigabyte vulnerables a través del acceso de administrador local/remoto durante el arranque, los estados de sueño o la operación normal.
4. Consulte el sitio web de soporte de Gigabyte e instale las últimas actualizaciones de firmware de UEFI de inmediato.
Detalles técnicos de las vulnerabilidades
Las vulnerabilidades descubiertas se derivan de la validación inadecuada en los manejadores SMI (Interrupción de gestión de sistemas) dentro de las implementaciones de firmware UEFI de Gigabyte.
Se han asignado cuatro identificadores CVE distintos a estos defectos: CVE-2025-7029, CVE-2025-7028, CVE-2025-7027 y CVE-2025-7026.
Estas vulnerabilidades explotan las debilidades en cómo el firmware maneja la validación de datos al procesar las solicitudes SMI, particularmente a través del uso de registros sin control y la validación inadecuada del puntero.
CVE-2025-7029 implica el uso sin control del registro RBX, lo que permite a los atacantes controlar los punteros Ocheader y OcData utilizados en la lógica de configuración de potencia y térmica, lo que resulta en escrituras arbitrarias de SMRAM (RAM de gestión del sistema).
CVE-2025-7028 carece de la validación de las estructuras de puntero de función derivadas de los registros RBX y RCX, lo que permite el control del atacante sobre las operaciones flash críticas, incluidas las funciones ReadFlash, WriteFlash, EraseFlash y GetFlashinfo a través de estructuras comprometidas de Funcblock.
CVE-2025-7027 presenta una vulnerabilidad de la derrota de doble puntero que involucra operaciones de escritura de memoria desde una variable NVRAM no validada SetupxTubufferAddress, mientras que CVE-2025-7026 permite a los atacantes usar el registro RBX como un puntero no verificado dentro de la función CommandRCX0, habilitando las ubicaciones de la memoria de los atacantes en los atacantes.
Las vulnerabilidades permiten a los atacantes con privilegios administrativos locales o remotos para lograr la ejecución del código en el nivel de privilegio de Ring-2, evitando efectivamente todas las protecciones a nivel de sistema operativo, lee el CERT/CC informe.
SMM opera por debajo del núcleo del sistema operativo, haciendo que estos ataques sean particularmente peligrosos, ya que pueden persistir a través de los reinicios del sistema y permanecer sin detectar por las soluciones tradicionales de protección de punto final.
La explotación puede ocurrir a través de múltiples vectores, incluidos los manejadores SMI activados desde el sistema operativo, o durante los estados críticos del sistema, como fases de arranque tempranas, transiciones de sueño o modos de recuperación antes de que se cargue completamente el sistema operativo.
La explotación exitosa permite a los atacantes deshabilitar los mecanismos de seguridad de UEFI cruciales, creando oportunidades para implantes de firmware sigilosos y establecer el control del sistema persistente.
El equipo de investigación binarly reveló responsablemente estas vulnerabilidades a CERT/CC, con PSIR de Gigabyte proporcionando una colaboración oportuna.
CVE IdentifierDescriptionCVSS 3.1 ScoreSeverityCVE-2025-7029Checked RBX Registro habilita las escrituras de SMRAM arbitrarias a través de Ocheader/OcData Pointers9.8CriticalCVE-2025-7028Nidated Function Pointers permiten el control de los atacantes sobre las operaciones 9.8CriticalCve-2025-7027028Nidated Pointers permiten el control de los atacantes sobre las operaciones 9.8CriticalCve-2025-7027027028Nidados de los Pointers de la función de los atacantes. SMRAM arbitrary SMRAM.
Gigabyte tiene liberado El firmware actualizado para abordar estas vulnerabilidades y aconseja a los usuarios que visiten su sitio de soporte para determinar el impacto del sistema y aplicar las actualizaciones necesarias.
Según AMI, el proveedor de firmware original, estas vulnerabilidades se abordaron previamente a través de divulgaciones privadas, sin embargo, las implementaciones vulnerables persistieron en algunas construcciones de firmware OEM.
Los usuarios deben consultar inmediatamente las actualizaciones de firmware y monitorear los avisos de los proveedores, ya que estas vulnerabilidades de la cadena de suministro pueden afectar a otros proveedores OEM de PC más allá de Gigabyte.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
