บูตคิทคือมัลแวร์ประเภทหนึ่งที่แพร่เชื้อไปยังบูตโหลดเดอร์ของคอมพิวเตอร์ ทำให้สามารถรันโค้ดอันตรายได้ในระหว่างกระบวนการเริ่มต้นระบบ บูตคิทสามารถข้ามการป้องกันความปลอดภัยมาตรฐานและยังคงทำงานอยู่แม้หลังจากรีบูตระบบแล้ว ทำให้ยากต่อการตรวจจับและกำจัด
บริษัทรักษาความปลอดภัยเฟิร์มแวร์ Binarly เปิดเผยว่าช่องโหว่ร้ายแรง 4 รายการในเฟิร์มแวร์ UEFI ของ GIGABYTE ทำให้เมนบอร์ดมากกว่า 240 รุ่นมีความเสี่ยงต่อการติดตั้ง bootkits แบบ reinstall-proof ที่ตรวจจับไม่ได้ ช่องโหว่แต่ละรายการตั้งแต่ CVE‑2025‑7029 ถึง CVE‑2025‑7026 มีคะแนนความรุนแรงสูงถึง 8.2 ตามมาตราส่วน CVSS และอยู่ในโหมด System Management ซึ่งจะเปิดใช้งานก่อนระบบปฏิบัติการใดๆ จะเริ่มทำงาน ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบ ไม่ว่าจะเป็นแบบโลคัลหรือแบบรีโมต สามารถใช้ประโยชน์จากปัญหาเหล่านี้เพื่อแฮ็กตัวจัดการ System Management Interrupt และแทรกโค้ดใดๆ เข้าไปในหน่วยความจำ System Management เนื่องจากหน่วยความจำควบคุมทุกขั้นตอนของกระบวนการบูต อิมเมจที่เป็นอันตรายใดๆ จึงยังคงซ่อนอยู่ภายใต้ระบบปฏิบัติการและรอดพ้นจากการล้างข้อมูลบนดิสก์และการตรวจสอบ Secure Boot ทำให้ผู้โจมตีสามารถควบคุมเครื่องได้อย่างต่อเนื่อง
บริษัทรักษาความปลอดภัยเฟิร์มแวร์ Binarly เปิดเผยว่าช่องโหว่ร้ายแรง 4 รายการในเฟิร์มแวร์ UEFI ของ GIGABYTE ทำให้เมนบอร์ดมากกว่า 240 รุ่นมีความเสี่ยงต่อการติดตั้ง bootkits แบบ reinstall-proof ที่ตรวจจับไม่ได้ ช่องโหว่แต่ละรายการตั้งแต่ CVE‑2025‑7029 ถึง CVE‑2025‑7026 มีคะแนนความรุนแรงสูงถึง 8.2 ตามมาตราส่วน CVSS และอยู่ในโหมด System Management ซึ่งจะเปิดใช้งานก่อนระบบปฏิบัติการใดๆ จะเริ่มทำงาน ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบ ไม่ว่าจะเป็นแบบโลคัลหรือแบบรีโมต สามารถใช้ประโยชน์จากปัญหาเหล่านี้เพื่อแฮ็กตัวจัดการ System Management Interrupt และแทรกโค้ดใดๆ เข้าไปในหน่วยความจำ System Management เนื่องจากหน่วยความจำควบคุมทุกขั้นตอนของกระบวนการบูต อิมเมจที่เป็นอันตรายใดๆ จึงยังคงซ่อนอยู่ภายใต้ระบบปฏิบัติการและรอดพ้นจากการล้างข้อมูลบนดิสก์และการตรวจสอบ Secure Boot ทำให้ผู้โจมตีสามารถควบคุมเครื่องได้อย่างต่อเนื่อง
ข้อบกพร่องทั้งสี่ประการมีต้นกำเนิดมาจากโค้ดอ้างอิงของ American Megatrends ซึ่งถูกแชร์อย่างเงียบๆ กับ OEM ภายใต้ข้อตกลงไม่เปิดเผยข้อมูลเมื่อต้นปีนี้ แม้ว่า Gigabyte จะปรับแต่งเฟิร์มแวร์พื้นฐานดังกล่าว แต่ก็ไม่ได้ส่งต่อการแก้ไขที่จำเป็นให้กับผู้ใช้ Binarly ได้แจ้งเตือน CERT/CC เมื่อวันที่ 15 เมษายน และ GIGABYTE ยืนยันว่าได้รับแจ้งเมื่อวันที่ 12 มิถุนายน แต่ยังไม่มีการแจ้งเตือนสาธารณะใดๆ จนกระทั่งผู้สื่อข่าวของ Bleeping Computer สอบถามในวันจันทร์ ผู้ใช้ควรไปที่หน้าสนับสนุนของ GIGABYTE เพื่อค้นหาและติดตั้ง BIOS เวอร์ชันอัปเดตโดยใช้ยูทิลิตี้ Q-Flash จากนั้นเปิดใช้งาน Secure Boot อีกครั้ง อุปกรณ์ที่ GIGABYTE ประกาศว่าสิ้นสุดอายุการใช้งานอาจไม่ได้รับแพตช์ นอกจากนี้ บริษัทยังอ้างว่ามีเพียงเมนบอร์ดที่ใช้ Intel เท่านั้นที่ได้รับผลกระทบ โดยไม่กระทบต่อเมนบอร์ด AMD ผู้ใช้ยังสามารถเรียกใช้โปรแกรมสแกน Risk Hunt ของ Binarly เพื่อตรวจสอบความเสี่ยงได้อีกด้วย Alex Matrosov ซีอีโอของ Binarly กล่าวว่าช่องโหว่เหล่านี้ชี้ให้เห็นว่าข้อบกพร่องของโค้ดอ้างอิงที่สืบทอดมาสามารถแพร่กระจายอย่างเงียบๆ ไปทั่วห่วงโซ่อุปทานฮาร์ดแวร์ได้อย่างไร
GIGABYTE อ้างว่ามีเพียงเมนบอร์ดที่ใช้ชิปเซ็ต Intel ต่อไปนี้เท่านั้นที่ได้รับผลกระทบ: H110, Z170, H170, B150, Q170, Z270, H270, B250, Q270, Z370, B365, Z390, H310, B360, Q370, C246, Z490, H470, H410, W480, Z590, B560, H510 และ Q570 เมนบอร์ดที่ใช้ชิปเซ็ต AMD ยังไม่ได้รับผลกระทบ ณ ขณะที่เขียนบทความนี้ ซึ่งอาจทำให้เมนบอร์ด AMD ทั้งหมดไม่ได้รับผลกระทบจากช่องโหว่นี้
ที่มา : TechPowerUp
ที่มา : TechPowerUp
