У новых плат Gigabyte обнаружился бэкдор — через него злоумышленник может подменить BIOS

Сотни тысяч материнских плат Gigabyte, используемых как в домашних ПК, так и в корпоративных серверах, оказались под угрозой полной компрометации. Исследователи безопасности обнаружили, что встроенная утилита для обновления прошивки (UEFI) содержит критический бэкдор, позволяющий злоумышленникам загружать на устройство вредоносный код, который невозможно удалить обычными средствами. Речь идет не просто о вирусе — атакующий получает возможность внедрить руткит на уровень BIOS, перехватывая управление компьютером до загрузки операционной системы.

Как работает скрытый канал для атак

Проблема кроется в компоненте программного пакета Gigabyte App Center. Этот исполняемый файл предназначен для автоматической загрузки и установки обновлений BIOS. Вместо того чтобы использовать защищенный протокол с проверкой цифровой подписи, утилита обращается к обычному, незащищенному HTTP-серверу Gigabyte. Это означает, что любой файл прошивки, загруженный таким образом, не проходит верификацию на подлинность.

Злоумышленник может воспользоваться этой уязвимостью двумя основными способами. Первый — атака типа «человек посередине» (MitM), когда хакер перехватывает трафик в локальной сети или на уровне провайдера и подменяет легитимный файл обновления на свой, зараженный. Второй, более масштабный сценарий — прямая компрометация серверов Gigabyte, что позволило бы атакующему распространять вредоносную прошивку на все устройства, которые попытаются выполнить обновление.

Масштаб угрозы: от домашних сборок до серверного парка

Под удар попали не отдельные модели, а целая экосистема. В списке уязвимых устройств числится 271 модель материнских плат. Среди них как бюджетные решения для офисных ПК на чипсетах A520 и B360, так и флагманские платы для энтузиастов и профессионалов на чипсетах Z590 и Z690. Особую тревогу вызывает тот факт, что в перечень входят новейшие платформы для сборщиков высокопроизводительных систем, где стоимость оборудования может исчисляться тысячами долларов, а потеря контроля над BIOS означает уязвимость для всей корпоративной инфраструктуры.

Эксперты компании Eclysium, выявившие проблему, уже опубликовали перечень URL-адресов, которые пользователям рекомендуется немедленно заблокировать на своих маршрутизаторах или в файрволах, чтобы пресечь любые попытки несанкционированного обновления прошивки через интернет. Полный перечень затронутых моделей также находится в открытом доступе.

Хотя разработчики были уведомлены об уязвимости и пообещали выпустить исправление, сама ситуация вызывает серьезные вопросы о безопасности цепочек поставок (supply chain). Сама идея исправления бэкдора в прошивке с помощью другого обновления той же утилиты создает парадоксальную ситуацию — пользователь вынужден доверять системе, которая уже была скомпрометирована.

За последние годы это не первый случай, когда производители материнских плат допускают грубые ошибки в реализации механизмов автоматического обновления. Ранее аналогичные проблемы находили в решениях от ASUS и MSI, однако особенность текущего инцидента — в полном отсутствии шифрования и цифровой подписи на этапе загрузки файла. По сути, Gigabyte создала идеальный инструмент для атаки на собственных клиентов.

Прямым следствием этой находки станет пересмотр политик безопасности в крупных компаниях, использующих оборудование Gigabyte. Администраторам придется либо вручную обновлять BIOS через USB-накопители, либо отключать функционал автоматического обновления на всех машинах. Для розничных пользователей, которые не следят за новостями кибербезопасности, риск остается максимально высоким — их машины могут быть заражены руткитом, который не обнаружит ни один антивирус, работающий на уровне ОС.