Centinaia di schede madri Gigabyte (e non solo?) a rischio bootkit, il malware che sopravvive anche alla formattazione

Il firmware UEFI di numerosi modelli di schede madri Gigabyte è vulnerabile a gravi falle di sicurezza che potrebbero consentire l'installazione di malware a basso livello, capace di eludere i controlli del sistema operativo e persistere anche dopo una reinstallazione. A lanciare l'allarme, come riportato da Bleeping Computer, sono stati i ricercatori di Binarly, azienda specializzata in sicurezza del firmware, che ha condiviso le proprie scoperte con il CERT Coordination Center della Carnegie Mellon University.

Le vulnerabilità, quattro in totale, affliggono l'ambiente System Management Mode (SMM), un contesto particolarmente critico perché isolato dal sistema operativo e dotato di privilegi elevati. Un eventuale attaccante in grado di ottenere accesso locale o remoto con permessi di amministrazione potrebbe sfruttare queste falle per eseguire codice arbitrario, aggirando le protezioni di Secure Boot e compromettere in modo persistente la piattaforma.

Gli identificativi CVE assegnati sono:

• CVE-2025-7029: Escalation di privilegi in SMM tramite OverClockSmiHandler
• CVE-2025-7028: Accesso in lettura/scrittura alla System Management RAM (SMRAM)
• CVE-2025-7027: Scrittura arbitraria nella SMRAM, potenziale modifica del firmware
• CVE-2025-7026: Scritture arbitrarie nella SMRAM con compromissione persistente

Tutte le vulnerabilità hanno un punteggio di severità elevato (8.2 su 10) e derivano da codice di riferimento fornito da American Megatrends Inc. (AMI). Sebbene AMI abbia corretto i problemi dopo una comunicazione privata, alcune implementazioni OEM - in particolare quelle di Gigabyte - risultano non aggiornate.

Secondo Binarly, sono coinvolti più di 240 modelli di schede madri, considerando varianti, revisioni e versioni per mercati specifici, con firmware aggiornati tra la fine del 2023 e agosto 2024. Gigabyte ha confermato le vulnerabilità il 12 giugno scorso e, secondo il CERT/CC, avrebbe rilasciato aggiornamenti per alcuni modelli. Tuttavia, non esiste al momento un bollettino ufficiale pubblicato dal produttore, né è chiaro quanti modelli siano stati effettivamente corretti.

Il fondatore e CEO di Binarly, Alex Matrosov, ha dichiarato che molti dispositivi potrebbero non ricevere mai una patch, in quanto già fuori supporto. Inoltre, l'origine delle vulnerabilità nel codice AMI, condiviso solo con clienti sotto NDA, ha causato ritardi nella distribuzione delle correzioni, lasciando i prodotti a rischio anche per anni.

Il rischio per gli utenti comuni è considerato basso, ma in ambienti critici la presenza di queste vulnerabilità può rappresentare un vettore di attacco rilevante. Binarly mette a disposizione un tool gratuito chiamato Risk Hunt, utile per rilevare la presenza delle quattro falle su sistemi vulnerabili.

Infine, si segnala che anche altri produttori hardware potrebbero essere coinvolti, ma i nomi non sono stati resi pubblici finché non saranno disponibili aggiornamenti correttivi.