Gigabyte motherboards vulnerable to UEFI malware bypassing Secure Boot

Gigabyte社のマザーボードの数十モデルには、オペレーティングシステムから見えないブートキットマルウェアを植え付け、再インストールに耐えられるようにするセキュリティ上の問題があるUEFIファームウェアで動作しています。

この脆弱性により、ローカルまたはリモートの管理者権限を持つ攻撃者が、オペレーティングシステム(OS)から隔離され、マシン上でより多くの権限を持つ環境であるシステム管理モード(SMM)で任意のコードを実行できる可能性がある。

OSの下でコードを実行するメカニズムは、低レベルのハードウェア・アクセスを持ち、ブート時に起動する。このため、これらの環境におけるマルウェアは、システム上の従来のセキュリティ防御をバイパスすることができる。

UEFI(Unified Extensible Firmware Interface)ファームウェアは、セキュア・ブート機能によってより安全であり、デバイスが安全で信頼できるコードをブート時に使用することを暗号検証によって保証する。

このため、ブートキット(BlackLotusCosmicStrandMosaicAggressorMoonBounceLoJax)のようなUEFIレベルのマルウェアは、起動のたびに悪意のあるコードを展開することができます。

多くのマザーボードに影響

この4つの脆弱性はギガバイト社のファームウェアに実装されており、ファームウェア・セキュリティ企業Binarly社の研究者によって発見された。同社はこの発見をカーネギーメロン大学のCERTコーディネーションセンター(CERT/CC)と共有した。

元のファームウェアの供給元はAmerican Megatrends Inc.(AMI)で、非公開の情報公開後に問題に対処したが、OEMファームウェアのビルドの一部(Gigabyteのものなど)は、その時点では修正プログラムを実装していなかった。

Gigabyte ファームウェアの実装において、Binarly 氏は以下の脆弱性を発見した:

  • CVE-2025-7029: SMM の特権昇格につながる SMI ハンドラ(OverClockSmiHandler)のバグ
  • CVE-2025-7028: SMI ハンドラ (SmiFlash) のバグにより、システム管理 RAM (SMRAM) への読み書きアクセスが可能となり、マルウェアのインストールにつながる可能性があります。
  • CVE-2025-7027: SMM の特権を昇格させ、SMRAM に任意の内容を書き込むことで ファームウェアを変更させる可能性があります。
  • CVE-2025-7026: SMRAM への任意の書き込みを可能にし、SMM への特権昇格とファームウェアの持続的な侵害につながる可能性がある。

私たちが数えたところ、影響を受けるマザーボードは、リビジョン、バリエーション、地域固有のエディションを含め、240モデル強あり、ファームウェアは2023年後半から2024年8月中旬の間に更新されています。しかし、Binarly社に正式な数を問い合わせたため、正確な数で記事を更新する予定である。

CERT/CCによると、Binarlyの研究者は4月15日にカーネギーメロン大学のCERT/CCにこの問題を通知し、Gigabyteは6月12日に脆弱性を確認し、その後ファームウェア・アップデートをリリースした。

しかし、OEMはBinarlyが報告したセキュリティ問題についてのセキュリティ情報を公開していない。

一方、Binarlyの創設者兼CEOであるアレックス・マトロソフ氏は、ギガバイト社は修正プログラムをリリースしていない可能性が高いと述べた。多くの製品がすでに使用期限を迎えているため、ユーザーはセキュリティ・アップデートの提供を期待してはならない。

「これらの4つの脆弱性はすべてAMIのリファレンスコードに由来しているため、AMIはしばらく前にこれらの脆弱性をNDAの下、有償の顧客のみにサイレント・ディスクロージャーしており、脆弱性がありパッチが適用されていないままであったため、ダウンストリーム・ベンダーに何年にもわたって重大な影響を及ぼしていた。

「Gigabyteはまだ修正プログラムをリリースしていないようで、影響を受けたデバイスの多くは製造中止の状態に達しており、いつまでも脆弱なままである可能性が高い。

一般消費者のリスクは確かに低いが、クリティカルな環境にいる人は、BinarlyのRisk Huntスキャナーツールで具体的なリスクを評価することができる。

ギガバイトのマザーボードを使用している様々なOEMのコンピュータが脆弱である可能性があるため、ユーザーはファームウェアのアップデートを監視し、速やかに適用することが推奨される。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


Tines Needle

2025年に共通する8つの脅威

クラウド攻撃はより巧妙になっているかもしれないが、攻撃者は驚くほど単純なテクニックで成功している。

本レポートでは、何千もの組織におけるWizの検知結果から、クラウドを駆使する脅威者が使用する8つの主要なテクニックを明らかにします。