Düzinelerce gigabayt anakart modeli, işletim sistemine görünmeyen ve yeniden yüklemelerde hayatta kalabilen bootkit kötü amaçlı yazılımların ekilmesine izin veren güvenlik sorunlarına karşı savunmasız UEFI ürün yazılımı üzerinde çalışıyor.
Güvenlik açıkları, yerel veya uzak yönetici izinleri olan saldırganların sistem yönetimi modunda (SMM), işletim sisteminden (OS) izole edilmiş bir ortam ve makinede daha fazla ayrıcalıkla keyfi kod yürütmesine izin verebilir.
İşletim sisteminin altındaki kod çalıştıran mekanizmalar düşük seviyeli donanım erişimine sahiptir ve önyükleme zamanında başlatır. Bu nedenle, bu ortamlardaki kötü amaçlı yazılımlar sistemdeki geleneksel güvenlik savunmalarını atlayabilir.
UEFI veya birleşik genişletilebilir ürün yazılımı arayüzü, bir cihazın önyükleme süresi kodunda güvenli ve güvenilir olan kriptografik doğrulamalar yoluyla sağlayan güvenli önyükleme özelliği nedeniyle ürün yazılımı daha güvenlidir.
Bu nedenle, BootKits (Blacklotus, Cosmicstrand, Mosaicaggessor, MoonBounce, Lojax) gibi UEFI-seviyesi kötü amaçlı yazılımlar her botta kötü amaçlı kod kullanabilir.
Çok sayıda anakart etkilendi
Dört güvenlik açığı gigabayt ürün yazılımı uygulamalarında yer alıyor ve bulgularını Carnegie Mellon Üniversitesi’nin CERT Koordinasyon Merkezi (CERT/CC) ile paylaşan ürün yazılımı güvenlik şirketi Binarly’deki araştırmacılar tarafından keşfedildi.
Orijinal ürün yazılımı tedarikçisi, özel bir açıklamadan sonra sorunları ele alan American Megatrends Inc. (AMI), ancak bazı OEM ürün yazılımı yapıları (örneğin Gigabyte’s) o zaman düzeltmeleri uygulamadı.
Gigabyte ürün yazılımı uygulamalarında, Binarly aşağıdaki güvenlik açıklarını buldu, hepsi 8.2 yüksek puan alan:
- CVE-2025-7029: SMM ayrıcalığına yol açabilecek bir SMI işleyicisinde (OverclocksMiHandler) hata
- CVE-2025-7028: Bir SMI işleyicisindeki hata (SMIFRASH), kötü amaçlı yazılım kurulumuna yol açabilecek Sistem Yönetimi RAM’e (SMRAM) okuma/yazma erişimi verir
- CVE-2025-7027: SMM ayrıcalığının artmasına yol açabilir ve SMRAM’a keyfi içerik yazarak ürün yazılımını değiştirebilir
- CVE-2025-7026: Keyfi yazmalara izin verir SMRAM’a izin verir ve SMM’ye ve kalıcı ürün yazılımı uzlaşmasına ayrıcalık artışına yol açabilir
Sayımıza göre, 2023’ün sonları ve Ağustos 2024 ortaları arasında güncellenen ürün yazılımı ile, revizyonlar, varyantlar ve bölgeye özgü baskılar dahil olmak üzere 240’dan biraz fazla anakart modeli vardır. Ancak, BleepingComputer resmi bir sayı için Binarly’ye ulaştı ve makaleyi doğru sayı ile güncelleyecek.
Binarly araştırmacıları, 15 Nisan’daki konular hakkında Carnegie Mellon Cert/CC’ye bildirdi ve Gigabyte 12 Haziran’da güvenlik açıklarını doğruladı ve ardından CERT/CC’ye göre ürün yazılımı güncellemelerinin yayınlanması.
Ancak OEM, Binarly’nin bildirdiği güvenlik sorunları hakkında bir güvenlik bülteni yayınlamamıştır. BleepingComputer, donanım satıcısına bir yorum isteği e -postayla gönderdi, ancak hala yanıtlarını bekliyoruz.
Bu arada, Binarly kurucusu ve CEO’su Alex Matrosov, BleepingComputer’a Gigabyte’nin büyük olasılıkla düzeltme yayınlamadığını söyledi. Halihazırda ömrünün sonuna ulaşmış olan ürünlerin birçoğu ile kullanıcılar herhangi bir güvenlik güncellemesi almayı beklememelidir.
“AMI referans kodundan kaynaklanan bu dört güvenlik açıkının tümü, AMI bu güvenlik açıklarını bir süre önce sadece NDA kapsamında ücretli müşterilere sessiz ifşa ettikleri için açıkladı ve aşağı akış satıcılarında savunmasız ve açılmamış olduklarında yıllarca önemli etkilere neden oldu” – Alex Matrosov
“Görünüşe göre Gigabyte henüz herhangi bir düzeltme yayınlamadı ve etkilenen cihazların birçoğu yaşam sonu durumuna ulaştı, yani süresiz olarak savunmasız kalacaklar.”
Genel tüketiciler için risk kuşkusuz düşük olmakla birlikte, kritik ortamlarda olanlar, dört güvenlik açıkları için serbest algılama içeren Binarly’nin risk av tarayıcı aracı ile spesifik riski değerlendirebilir.
Gigabayt anakartlar kullanan çeşitli OEM’lerden bilgisayarlar savunmasız olabilir, bu nedenle kullanıcılara ürün yazılımı güncellemelerini izlemeleri ve derhal uygulamaları önerilir.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.