Các lỗ hổng bảo mật nghiêm trọng đã được công bố trong firmware của bo mạch chủ Gigabyte, cho phép kẻ tấn công thực thi mã tùy ý trong System Management Mode (SMM). Đây là cấp độ thực thi có đặc quyền cao nhất trên các bộ vi xử lý x86.
Các lỗ hổng này, được các nhà nghiên cứu bảo mật tại Binarly REsearch phát hiện, ảnh hưởng đến nhiều mẫu bo mạch chủ Gigabyte. Chúng xuất phát từ việc xác thực không đúng cách các trình xử lý System Management Interrupt (SMI) trong các module firmware UEFI.
Bản Chất Các Lỗ Hổng
Bốn lỗ hổng này khai thác các điểm yếu trong cách firmware UEFI của Gigabyte xử lý dữ liệu được truyền qua các bộ đệm giao tiếp SMI.
Chế Độ Quản Lý Hệ Thống (SMM)
System Management Mode hoạt động ở mức đặc quyền ring -2, thấp hơn cả nhân hệ điều hành. Điều này biến SMM thành một mục tiêu hấp dẫn cho những kẻ tấn công tìm cách thiết lập phần mềm độc hại dai dẳng, không thể bị phát hiện, có khả năng tồn tại sau khi cài đặt lại hệ điều hành và vượt qua các cơ chế bảo mật như Secure Boot.
Cơ Chế Khai Thác
Kẻ tấn công có đặc quyền quản trị trên hệ thống có thể khai thác các lỗ hổng này bằng cách thao tác các thanh ghi CPU trước khi kích hoạt các ngắt quản lý hệ thống (System Management Interrupts). Các lỗ hổng cho phép ghi dữ liệu tùy ý vào System Management RAM (SMRAM), một vùng bộ nhớ được bảo vệ mà phần mềm thông thường không thể truy cập.
Ảnh Hưởng Khai Thác Thành Công
Khai thác thành công cho phép kẻ tấn công:
- Vô hiệu hóa các tính năng bảo mật firmware quan trọng.
- Cài đặt các bootkit dai dẳng có khả năng tồn tại sau khi định dạng đĩa.
- Duy trì quyền kiểm soát hệ thống ngay cả sau khi cài đặt lại hệ điều hành hoàn toàn.
Các lỗ hổng này có thể được kích hoạt trong nhiều trạng thái hệ thống khác nhau, bao gồm các giai đoạn khởi động sớm, quá trình chuyển đổi sang chế độ ngủ, và các chế độ phục hồi.
Chuỗi Cung Ứng Firmware và Lỗ Hổng
Đáng chú ý, các lỗ hổng này trước đây đã được American Megatrends International (AMI), nhà cung cấp firmware gốc, khắc phục thông qua các tiết lộ bảo mật riêng tư. Tuy nhiên, các bản vá lỗi này chưa bao giờ được đưa vào các bản dựng firmware hạ nguồn của Gigabyte, làm nổi bật những khoảng trống nghiêm trọng trong chuỗi cung ứng firmware. Sự cố này cho thấy cách các bản vá bảo mật có thể không đến được tay người dùng cuối khi các nhà cung cấp OEM không duy trì quy trình cập nhật đồng bộ với các nhà cung cấp thượng nguồn.
Biện Pháp Khắc Phục và Khuyến Nghị
Gigabyte đã xác nhận các lỗ hổng và phát hành các bản cập nhật firmware thông qua trang web hỗ trợ của họ. Đội ngũ Product Security Incident Response Team (PSIRT) của công ty đã hợp tác với các nhà nghiên cứu trong quá trình tiết lộ có phối hợp.
Người dùng được khuyến nghị mạnh mẽ nên kiểm tra ngay cổng hỗ trợ của Gigabyte cho mẫu bo mạch chủ cụ thể của mình và áp dụng các bản cập nhật firmware có sẵn.
Việc tiết lộ được phối hợp thông qua CERT/CC, với Binarly REsearch được ghi nhận vì đã thực hiện tiết lộ có trách nhiệm.
Các tổ chức nên triển khai các chính sách cập nhật firmware như một phần của chương trình quản lý lỗ hổng của mình. Các lỗ hổng cấp thấp này có thể làm suy yếu tất cả các biện pháp kiểm soát bảo mật cấp cao hơn. Việc cập nhật firmware thường xuyên cần được xử lý với mức độ khẩn cấp tương tự như các bản vá hệ điều hành, do tiềm năng gây ảnh hưởng toàn hệ thống của chúng.
