Gigabayt UEFI ürün yazılımında, saldırganların modern işlemcilerdeki en ayrıcalıklı yürütme ortamlarından biri olan sistem yönetimi modunda (SMM) keyfi kod yürütmesine izin verebilecek kritik güvenlik açıkları keşfedilmiştir.
11 Temmuz 2025 tarihinde Yazılım Mühendisliği Enstitüsü’nün sertifika koordinasyon merkezi tarafından açıklanan güvenlik açıkları, çoklu gigabayt sistemleri etkiler ve saldırganların güvenli bot ve intel bootguard dahil olmak üzere temel güvenlik korumalarını atlamasını sağlayabilir.
Key Takeaways
1. Four CVE vulnerabilities in Gigabyte UEFI firmware allow attackers to execute code in privileged System Management Mode (SMM).
2. Exploitation bypasses Secure Boot and Intel BootGuard, enabling persistent firmware-level malware undetectable by antivirus.
3. Gigabyte systems vulnerable through local/remote admin access during boot, sleep states, or normal operation.
4. Check Gigabyte support website and install latest UEFI firmware updates immediately.
Güvenlik açıklarının teknik detayları
Keşfedilen güvenlik açıkları, Gigabyte’nin UEFI ürün yazılımı uygulamalarındaki SMI (sistem yönetimi kesintisi) işleyicilerinde uygunsuz doğrulamadan kaynaklanmaktadır.
Bu kusurlara dört farklı CVE tanımlayıcı atandı: CVE-2025-7029, CVE-2025-7028, CVE-2025-7027 ve CVE-2025-7026.
Bu güvenlik açıkları, ürün yazılımının SMI isteklerini işlerken, özellikle kontrolsüz kayıt kullanımı ve yetersiz işaretçi doğrulaması yoluyla veri doğrulamasını nasıl işlediğine ilişkin zayıf yönlerden yararlanır.
CVE-2025-7029, RBX kaydının kontrolsüz kullanımını içerir ve saldırganların güç ve termal konfigürasyon mantığında kullanılan Ocheader ve Ocdata işaretçilerini kontrol etmesine izin verir ve bu da keyfi SMRAM (Sistem Yönetimi RAM) yazar.
CVE-2025-7028, RBX ve RCX kayıtlarından türetilen fonksiyon işaretçisi yapılarının doğrulanmasından yoksundur, bu da okuma, WriteFlash, Eraseflash ve Getflashinfo işlevleri dahil olmak üzere kritik flaş işlemleri üzerinde saldırgan kontrolünü, tehlikeye atılmış funcblock yapıları aracılığıyla sağlar.
CVE-2025-7027, CVE-2025-7026, RBX kaydını, RBX kaydını, RBX kaydını, Sustrcx0 fonksiyonu içinde commandrcx0 fonksiyonu içindeki comyclect yazılı bir işaretçi olarak kullanmasına izin verir.
Güvenlik açıkları, yerel veya uzaktan idari ayrıcalıklara sahip saldırganların, Ring-2 ayrıcalık düzeyinde kod yürütülmesini sağlayarak, tüm işletim sistem seviyesi korumalarını etkili bir şekilde atlayarak CERT/CC raporunu okur.
SMM, işletim sistemi çekirdeğinin altında çalışır, bu saldırıları sistem yeniden başlatmalarında devam edebilecekleri ve geleneksel uç nokta koruma çözümleri tarafından tespit edilmeyecekleri için özellikle tehlikeli hale getirir.
Sömürü, işletim sisteminden tetiklenen SMI işleyicileri veya OS tamamen yüklenmeden önce erken önyükleme aşamaları, uyku geçişleri veya kurtarma modları gibi kritik sistem durumları sırasında birden fazla vektör aracılığıyla meydana gelebilir.
Başarılı sömürü, saldırganların önemli UEFI güvenlik mekanizmalarını devre dışı bırakmalarını, gizli ürün yazılımı implantları için fırsatlar yaratmasını ve kalıcı sistem kontrolü oluşturmasını sağlar.
Binarly araştırma ekibi, bu güvenlik açıklarını CERT/CC’ye sorumlu bir şekilde açıkladı ve Gigabyte’nin PSIRT zamanında işbirliği sağladı.
| CVE tanımlayıcısı | Tanım | CVSS 3.1 puanı | Şiddet |
| CVE-2025-7029 | Kontrolsüz RBX Kayıt Keyfi SmRam’ın Ocheader/Ocdata Pointers aracılığıyla yazmasını etkinleştirir | 9.8 | Eleştirel |
| CVE-2025-7028 | Değerlendirilmemiş işlev işaretçileri, flaş işlemleri üzerinde saldırgan kontrolüne izin verir | 9.8 | Eleştirel |
| CVE-2025-7027 | Double Pointer Dereference, keyfi Smram yazıyor | 9.8 | Eleştirel |
| CVE-2025-7026 | Kontrolsüz RBX Kayıt Kayıtlı SMRAM Commandrcx0 | 9.8 | Eleştirel |
Gigabyte, bu güvenlik açıklarını ele almak için güncellenmiş ürün yazılımı yayınladı ve kullanıcılara sistem etkisini belirlemek ve gerekli güncellemeleri uygulamak için destek sitelerini ziyaret etmelerini şiddetle tavsiye ediyor.
Orijinal ürün yazılımı tedarikçisi AMI’ye göre, bu güvenlik açıkları daha önce özel açıklamalarla ele alınmıştı, ancak bazı OEM ürün yazılımı yapılarında savunmasız uygulamalar devam etti.
Bu tedarik zinciri güvenlik açıkları gigabayt ötesindeki diğer PC OEM satıcılarını etkileyebileceğinden, kullanıcılar derhal ürün yazılımı güncellemelerini kontrol etmeli ve satıcı danışmanlarını izlemelidir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi