Dezenas de modelos de motherboards da Gigabyte possuem uma vulnerabilidade crítica no seu firmware UEFI, abrindo portas para a instalação de malware do tipo "bootkit". Este tipo de ameaça é particularmente perigoso, pois opera de forma invisível para o sistema operativo e consegue sobreviver até a reinstalações completas do mesmo.
O que é esta falha e porque é tão perigosa?
As vulnerabilidades descobertas permitem que um atacante, com permissões de administrador locais ou remotas, execute código malicioso no System Management Mode (SMM). O SMM é um ambiente de execução isolado e com um nível de privilégios superior ao do próprio sistema operativo, com acesso de baixo nível ao hardware do computador.
O firmware UEFI (Unified Extensible Firmware Interface) é o sucessor do BIOS tradicional e inclui mecanismos de segurança como o Secure Boot, que garante que apenas código fidedigno é executado durante o arranque do sistema. No entanto, malware que atua a este nível, como os bootkits (por exemplo, BlackLotus ou LoJax), consegue contornar estas proteções e injetar código malicioso a cada novo arranque, tornando a sua deteção e remoção extremamente difíceis.
Centenas de modelos Gigabyte afetados
A descoberta foi feita pela empresa de segurança de firmware Binarly, que identificou quatro vulnerabilidades críticas, todas com uma pontuação de severidade de 8.2:
CVE-2025-7029: Uma falha num gestor SMI que pode levar a uma escalada de privilégios para o SMM.
CVE-2025-7028: Um erro que concede acesso de leitura/escrita à memória SMRAM, permitindo a instalação de malware.
CVE-2025-7027: Permite a modificação do firmware através da escrita de conteúdo arbitrário na SMRAM.
CVE-2025-7026: Possibilita a escrita arbitrária na SMRAM, levando ao controlo persistente do firmware.
Embora o código original seja da American Megatrends Inc. (AMI), que corrigiu os problemas, a Gigabyte não terá implementado estas correções em todos os seus modelos. Segundo as contas, mais de 240 modelos de motherboards (incluindo revisões e edições regionais) com firmware atualizado entre o final de 2023 e meados de agosto de 2024 estão vulneráveis. A Binarly confirmou que "mais de uma centena de linhas de produtos estão afetadas".
A resposta da Gigabyte (ou a falta dela)
A Binarly notificou o CERT Coordination Center (CERT/CC) da Universidade Carnegie Mellon a 15 de abril. A Gigabyte confirmou as vulnerabilidades a 12 de junho e, segundo o CERT/CC, terá lançado atualizações de firmware. Contudo, a fabricante ainda não publicou um boletim de segurança oficial sobre estes problemas.
Alex Matrosov, fundador e CEO da Binarly, expressou ceticismo, afirmando que "parece que a Gigabyte ainda não lançou quaisquer correções". O maior problema, segundo Matrosov, é que "muitos dos dispositivos afetados já atingiram o fim do seu ciclo de vida (end-of-life), o que significa que provavelmente permanecerão vulneráveis para sempre".
Como se pode proteger?
Embora o risco para o consumidor geral seja considerado baixo, utilizadores em ambientes críticos ou que queiram verificar o seu sistema podem utilizar a ferramenta de análise gratuita da Binarly, a Risk Hunt, que deteta estas quatro vulnerabilidades.
A recomendação principal é que os utilizadores de motherboards Gigabyte, ou de computadores de outros fabricantes que as utilizem, fiquem atentos a novas atualizações de firmware e as apliquem assim que estiverem disponíveis.
Nenhum comentário
Seja o primeiro!