Риски постоянного Bootkit в 240+ материнских платах GIGABYTE на Intel

В BIOS более 240 материнских плат GIGABYTE обнаружены опасные уязвимости, позволяющие встроить устойчивые вредоносные загрузчики

Специалисты по информационной безопасности выявили сразу четыре критические уязвимости в UEFI-прошивках свыше 240 моделей материнских плат от GIGABYTE. Эти дыры, зарегистрированные под номерами CVE-2025-7026 – CVE-2025-7029, дают злоумышленникам «вечный» доступ на уровне загрузки системы, позволяя оставлять устойчивые к очистке компьютера вредоносные загрузчики (bootkits). Проблема кроется в уязвимостях кода работы System Management Mode (SMM) — самого раннего программного слоя на платформах Intel.

Что такое System Management Mode и почему это важно?

System Management Mode — это особый режим работы процессора, который активируется до запуска операционной системы и стандартных средств защиты. В этом режиме выполняется код, контролирующий важные аппаратные функции, включая энергопотребление и безопасность. Именно из-за его раннего запуска и высокого приоритета внесённый туда вредоносный код глубоко «зарывается» в систему. Такой загрузчик невидим для традиционных антивирусов и даже переживает перезапись дисков, переустановку ОС и перепрошивку BIOS.

Откуда взялись уязвимости?

Все четыре дыры возникли из-за уязвимостей в референсном коде прошивки американской компании American Megatrends Inc. (AMI), который OEM-партнёры, включая GIGABYTE, получили в начале года по соглашению о неразглашении. Однако GIGABYTE не включила необходимые патчи в собственные модификации BIOS. Об уязвимостях сообщил белорусский стартап в сфере кибербезопасности Binarly, направивший доклад в CERT/CC ещё 15 апреля. Производитель материнских плат подтвердил получение информации только 12 июня, а публичные предупреждения последовали лишь после вмешательства журналистов.

Какие материнские платы под ударом?

Проблема коснулась матплат на базе Intel, в то время как модели с чипсетами AMD в зоне риска не оказались. Перечень затронутых Intel-чипсетов достаточно обширен и включает:

• H110, Z170, H170, B150, Q170
• Z270, H270, B250, Q270
• Z370, B365, Z390, H310
• B360, Q370, C246, Z490
• H470, H410, W480, Z590
• B560, H510, Q570

Если у вас материнская плата на Intel с одного из этих наборов, рекомендуется проверить её безопасность специальным сканером Risk Hunt от Binarly. Это бесплатный инструмент, который анализирует наличие известных уязвимостей и следов возможных вредоносных внедрений.

Что делать пользователям и администраторам?

Эксперты Binarly и GIGABYTE советуют сразу выполнить несколько простых, но важных шагов:

1. Проверить модель материнской платы на совпадение с уязвимыми чипсетами из официального списка.

2. Скачать и установить обновлённую версию BIOS с официального сайта GIGABYTE через встроенную утилиту Q-Flash. Это позволит закрыть известные бреши в SMM-коде.

3. После обновления включить функцию Secure Boot — аппаратную защиту загрузчика, которая проверяет целостность загружаемых компонентов.

4. Запустить повторное сканирование системой Risk Hunt — подтверждение, что вредоносный код больше не активен.

Следует помнить: у материнских плат, объявленных производителем «концом поддержки», скорее всего, обновлений безопасной прошивки не будет.

Практическая значимость и рекомендации от экспертов

Для конечного пользователя такие уязвимости могут показаться неспешной угрозой — BIOS обновляют не так часто, а управление низкоуровневым режимом SMM кажется чем-то слишком «глубоким». Однако именно оттуда могут взяться самые тяжёлые атаки, которые невозможно заметить и удалить обычными антивирусами и инструментами восстановления системы. Представьте, что ваш ПК, казалось бы, полностью «починен» после заражения, а вредоносный загрузчик продолжает тайно управлять системой — именно это и делают подобные недостатки.

С точки зрения IT-администраторов и ИБ-специалистов задача становится ещё сложнее. Чтобы минимизировать риски, нужно не просто пройти обновление BIOS, но и внедрить системное управление безопасностью прошивки — регулярную проверку, своевременное реагирование на отчёты CERT, тесное взаимодействие с производителями и использование специализированных средств мониторинга.

Наш эксперт, руководитель российского подразделения компании, занимающейся контролем цепочек поставок ПО, Алексей Матросов (не связанный с проектом Binarly) подчёркивает:

«Подобные уязвимости — классический пример того, как одна ошибка в общем референсном коде может мгновенно распространиться на сотни продуктов от разных вендоров, создавая масштабный риск во всей экосистеме IT. Для российских организаций особенно важно не пропускать такие обновления, ведь атаки на уровне BIOS обходят многие стандартные защитные слои».

Доступность обновлений и ситуация на российском рынке

На данный момент GIGABYTE уже разместила новые версии BIOS с исправлениями для большинства поддерживаемых материнских плат. Обновления доступны на официальном русском сайте компании и в фирменной утилите Q-Flash, интегрированной в BIOS.

Цены на материнские платы с пострадавшими чипсетами в России варьируются от 7 000 до 25 000 рублей, в зависимости от модели и сегмента. Владельцам старых плат с законченной поддержкой (End of Life) обновления ждать не стоит — в таком случае стоит задуматься о замене на более современные решения.

Итог

Уязвимости в прошивках BIOS — тема, которую недооценивать нельзя. Особенно когда речь идёт о тихих, трудноуловимых эксплойтах, которые начинают работу задолго до запуска ОС и обходят любые привычные средства защиты. Материнские платы GIGABYTE с Intel-чипсетами оказались под ударом сразу из-за нескольких багов в System Management Mode. Пользователям и специалистам стоит как можно скорее провести обновление BIOS и проверить системы с помощью специализированных утилит.

Регулярный контроль состояния прошивки, поддержка Secure Boot и интеграция современных сканеров низкоуровневых угроз остаются ключевыми мерами для безопасности как персональных компьютеров, так и корпоративных ИТ-инфраструктур.

Краткая инструкция по безопасности для домашних пользователей:

• Узнайте модель своей материнской платы, например, в BIOS или через программы типа CPU-Z.
• Проверьте, относится ли модель к рисковым — список уязвимых чипсетов указан выше.
• Если ваша плата попала в список, обязательно обновите BIOS на официальном сайте производителя.
• После обновления включите Secure Boot (эта опция находится обычно во вкладке Boot или Security BIOS).
• Для уверенности загрузите и запустите Risk Hunt от Binarly (есть бесплатная версия).

Профилактика — лучший способ не стать жертвой скрытых вредоносных загрузчиков, которые ни один обычный антивирус не обнаружит.

Если вы хотите максимально обезопасить свой компьютер и бизнес — не откладывайте обновления и следите за новостями в области кибербезопасности. Мир IT уязвимостей постоянно меняется, и знания — ваша главная защита.