مادربردهای متعددی از شرکت Gigabyte دارای فریمور UEFI هستند که آسیبپذیریهای امنیتی خطرناکی در آنها شناسایی شده است. این ضعفها به مهاجمان امکان میدهند بدافزارهای سطح پایین مانند بوتکیتها را روی سیستم نصب کنند؛ بدافزارهایی که نه تنها برای سیستمعامل قابل مشاهده نیستند، بلکه حتی پس از نصب مجدد ویندوز نیز همچنان باقی میمانند.
بوتکیت نوعی بدافزار مدرن است که توسط مهاجمان جهت پیوست کردن نرمافزارهای مخرب به سیستمهای رایانهای استفاده میشود. این بدافزارها تهدیدات جدی امنیتی برای کسبوکار سازمان محسوب میشوند و اغلب شامل ابزارهایی از نوع روتکیت برای دور زدن سیستمهای شناسایی هستند. این حملات، رابط UEFI را هدف قرار میدهند، که نرمافزار رابط بین سیستمعامل کامپیوتر و میانافزار سختافزاری آن است. میانافزار UEFI به جای هارد دیسک، روی مادربرد ذخیره میشود و از این رو، با ابزارهای معمولی دیسک قابل پاکسازی نیست.
مهاجمان با داشتن دسترسی مدیریتی — چه بهصورت محلی و چه از راه دور — میتوانند کد مخرب را در System Management Mode (SMM) اجرا کنند. این محیط، که در هنگام بوت فعال میشود، سطح دسترسی بسیار بالایی به سختافزار دارد و از دید سیستمعامل جداست. به همین دلیل، بدافزارهایی که در این سطح عمل میکنند، قادرند تمام مکانیزمهای امنیتی سنتی را دور بزنند.
در حالت عادی، فریمور UEFI با ویژگی Secure Boot از امنیت بالایی برخوردار است؛ زیرا از طریق امضای دیجیتال تضمین میکند تنها کدهای معتبر و مورد اعتماد در زمان بوت اجرا شوند. با این حال، برخی بدافزارهای پیشرفته مانند BlackLotus، CosmicStrand، MosaicAggressor، MoonBounce و LoJax موفق شدهاند با سوءاستفاده از ضعفهای سطح پایین، در هر بار بوت سیستم، کد مخرب خود را اجرا کنند — بدون اینکه توسط سیستمعامل یا آنتیویروس شناسایی شوند.
این آسیبپذیریها خطر نفوذ پایدار، نامرئی و بسیار قدرتمند را ایجاد میکنند که مقابله با آنها بدون بهروزرسانی فریمور و اقدامات پیشگیرانه سخت خواهد بود.
چهار آسیبپذیری جدی در فریمور مادربردهای Gigabyte توسط شرکت امنیتی Binarly شناسایی شدهاند که همگی دارای شدت بالا با امتیاز 8.2 هستند. این آسیبپذیریها به مهاجمان اجازه میدهند به System Management Mode (SMM) دسترسی پیدا کرده و کنترل کامل سطح پایین سیستم را در دست بگیرند. جزئیات این آسیبپذیریها به شرح زیر است:
- CVE-2025-7029: نقص در تابع OverClockSmiHandler که باعث افزایش سطح دسترسی و اجرای کد در محیط SMM میشود.
- CVE-2025-7028: ضعف در تابع SmiFlash که امکان خواندن و نوشتن در حافظه محافظتشده SMRAM را فراهم میکند؛ مسیری مستقیم برای نصب بدافزار.
- CVE-2025-7027: مهاجم از طریق این آسیبپذیری میتواند محتوای دلخواهی را در SMRAM بنویسد و با دستکاری فریمور، کنترل مداوم بر سیستم داشته باشد.
- CVE-2025-7026: این آسیبپذیری امکان نوشتن دلخواه در حافظه SMRAM را فراهم میکند. مهاجم با سوءاستفاده از آن میتواند به سطح دسترسی SMM دست یابد و کد مخرب را در فریمور سیستم قرار دهد. این نوع آلودگی بهصورت پایدار، مخفی و بسیار دشوار برای شناسایی و پاکسازی باقی میماند.
بررسیها نشان میدهد که بیش از 240 مدل مادربرد تحت تأثیر این آسیبپذیریها قرار دارند. فریمور این دستگاهها بین اواخر سال 2023 تا اواسط آگوست 2024 بهروزرسانی شده است، اما بسیاری از آنها همچنان فاقد وصلههای امنیتی لازم هستند.
شرکت American Megatrends Inc. (AMI) به عنوان توسعهدهنده اصلی فریمور، پس از دریافت گزارش، آسیبپذیریها را اصلاح کرده است؛ با این حال، برخی تولیدکنندگان از جمله Gigabyte هنوز این بهروزرسانیها را در محصولات خود اعمال نکردهاند.
توصیههای امنیتی
اگرچه ریسک این آسیبپذیریها برای کاربران عادی پایین در نظر گرفته میشود، اما برای کاربران در محیطهای حساس و حیاتی، توصیه میشود از ابزار Risk Hunt شرکت Binarly استفاده کنند که بهصورت رایگان امکان شناسایی چهار آسیبپذیری مذکور را فراهم میکند.
همچنین چون کامپیوترهای ساختهشده توسط برندهای مختلفی ممکن است از مادربردهای Gigabyte استفاده کنند، کاربران باید بهطور مداوم وضعیت انتشار بهروزرسانی فریمور را بررسی کرده و آن را در اسرع وقت نصب کنند.
شرکت Gigabyte یک اطلاعیه امنیتی منتشر کرده که سه مورد از چهار آسیبپذیری کشفشده توسط Binarly را پوشش میدهد:
https://www.gigabyte.com/Support/Security/2302
منبع خبر:
[1]https://www.bleepingcomputer.com/news/security/gigabyte-motherboards-vulnerable-to-uefi-malware-byp…
- 6