-
09/04/2020
-
108
-
952 bài viết
Hàng loạt bo mạch chủ Gigabyte dính lỗ hổng: Hacker có thể cài bootkit vĩnh viễn
Các chuyên gia bảo mật vừa phát hiện nhiều lỗ hổng nghiêm trọng trong firmware UEFI trên hàng loạt bo mạch chủ (mainboard) của Gigabyte, có khả năng cho phép tin tặc cài mã độc bootkit vượt qua cơ chế bảo vệ Secure Boot, hoạt động dưới hệ điều hành và tồn tại vĩnh viễn ngay cả khi hệ thống được cài đặt lại.
Các lỗ hổng đã được gán mã từ CVE-2025-7026 đến CVE-2025-7029 và đều được đánh giá mức độ nghiêm trọng (CVSS 8,2). Cụ thể:
Đáng lưu ý, AMI đã âm thầm phát hành bản vá dưới dạng NDA nhưng nhiều firmware của Gigabyte vẫn chưa tích hợp các bản sửa lỗi này.
Thêm vào đó, phần lớn bo mạch bị ảnh hưởng đã hết vòng đời hỗ trợ (EOL), khiến khả năng nhận bản vá chính thức từ nhà sản xuất gần như bằng không.
Trước tình trạng này, người dùng, đặc biệt là những tổ chức hoạt động trong môi trường hạ tầng quan trọng cần:
Có thể bị chiếm quyền điều khiển ở cấp độ cao nhất
Các lỗ hổng này ảnh hưởng đến System Management Mode (SMM) - chế độ quản lý hệ thống nằm sâu trong kiến trúc UEFI có quyền truy cập cao hơn cả hệ điều hành. Nếu khai thác thành công, hacker có thể thực thi mã độc trực tiếp trong SMM, từ đó ghi dữ liệu tùy ý vào vùng nhớ SMRAM, vô hiệu hóa Secure Boot và thậm chí cài implant firmware (mã độc ở cấp độ phần mềm hệ thống) dưới dạng bootkit, tương tự như các mã độc nổi tiếng BlackLotus, CosmicStrand.Các lỗ hổng đã được gán mã từ CVE-2025-7026 đến CVE-2025-7029 và đều được đánh giá mức độ nghiêm trọng (CVSS 8,2). Cụ thể:
- CVE-2025-7026: Cho phép ghi tùy ý vào SMRAM, dẫn đến leo thang đặc quyền và chiếm quyền kiểm soát firmware.
- CVE-2025-7027: Cho phép ghi dữ liệu vào SMRAM, có thể dẫn đến chỉnh sửa firmware độc hại.
- CVE-2025-7028: Lỗi trong trình xử lý SmiFlash, cho phép hacker đọc/ghi SMRAM để cài bootkit.
- CVE-2025-7029: Lỗi trong trình xử lý OverClockSmiHandler, cho phép leo thang đặc quyền trong SMM.
Ảnh hưởng trên diện rộng, không chỉ riêng Gigabyte
Theo báo cáo, ban đầu xác nhận có hơn 240 mẫu mainboard Gigabyte bị ảnh hưởng. Tuy nhiên, theo cập nhật ngày 14/7, những lỗ hổng này thực tế còn ảnh hưởng tới hơn 100 dòng mainboard thuộc nhiều nhà sản xuất khác, không chỉ riêng Gigabyte vì cùng dùng firmware từ American Megatrends Inc. (AMI).Đáng lưu ý, AMI đã âm thầm phát hành bản vá dưới dạng NDA nhưng nhiều firmware của Gigabyte vẫn chưa tích hợp các bản sửa lỗi này.
Gigabyte lên tiếng nhưng chưa xử lý triệt để
Sau khi thông tin được công bố công khai, Gigabyte đã phát hành bản tin bảo mật vào ngày 15/7, tuy nhiên chỉ đề cập đến 3 trong 4 lỗ hổng mà Binarly phát hiện. Một lỗ hổng vẫn chưa được công khai hoặc chưa được vá, làm dấy lên lo ngại về nguy cơ tồn đọng backdoor tiềm ẩn trong thiết bị.Thêm vào đó, phần lớn bo mạch bị ảnh hưởng đã hết vòng đời hỗ trợ (EOL), khiến khả năng nhận bản vá chính thức từ nhà sản xuất gần như bằng không.
Trước tình trạng này, người dùng, đặc biệt là những tổ chức hoạt động trong môi trường hạ tầng quan trọng cần:
- Chủ động kiểm tra model bo mạch chủ đang sử dụng
- Theo dõi các bản cập nhật firmware từ Gigabyte và các OEM liên quan
Theo Bleeping Computer