Gigabyte Mainboards: Sicherheitslücken geben Angreifern weitreichende Kontrolle
Das Cybersecurity-Unternehmen Binarly hat schwerwiegende Sicherheitslücken in Gigabyte-Mainboards aufgedeckt, die Angreifern Ring-2-Zugriff ermöglichen und damit alle Schutzmaßnahmen des Betriebssystems umgehen können. Die Schwachstellen betreffen den System Management Mode der UEFI-Firmware und ermöglichen es Angreifern, beliebigen Code auszuführen, der selbst Betriebssystem-Neuinstallationen übersteht.
Die vier entdeckten Sicherheitslücken (CVE-2025-7029, CVE-2025-7028, CVE-2025-7027, CVE-2025-7026) weisen alle einen CVSS-Score von 8,2 auf und werden als hohes Risiko eingestuft. Sie betreffen mindestens 80 Gigabyte-Modelle, teilweise auch ältere Generationen. Die Schwachstellen ermöglichen es Angreifern, die RBX- und RCX-Register zu kontrollieren und damit ungeprüfte Zeiger zu manipulieren, was zu beliebigen Schreibzugriffen auf den System Management RAM führt.
Die Bedrohung ist besonders gravierend, da der System Management Mode als Ring-2-Umgebung über höhere Privilegien verfügt als das Betriebssystem selbst. Angreifer können dadurch SMM-basierte SPI-Flash-Schutzmaßnahmen gegen Modifikationen umgehen, Secure Boot und Intel BootGuard deaktivieren sowie Hypervisor-basierte Speicherisolierung aushebeln. Der eingeschleuste Code kann während des Bootvorgangs, in Wiederherstellungsmodi oder sogar vor dem vollständigen Laden des Betriebssystems ausgeführt werden.
Die Schwachstellen wurden bereits früher an American Megatrends International (AMI) gemeldet und gepatcht, sind jedoch in den Gigabyte-Firmware-Builds wieder aufgetaucht. Dies verdeutlicht kritische Lücken in der Firmware-Lieferkette, wo Sicherheitspatches nicht zu den Endnutzern durchdringen, wenn OEM-Anbieter ihre Update-Prozesse nicht mit den Upstream-Lieferanten synchronisieren.
Diese Entdeckung reiht sich in eine Serie von Sicherheitsproblemen bei Gigabyte ein. Bereits im Juni 2023 musste das Unternehmen nach einem Bericht von Eclypsium BIOS-Updates für über 270 Mainboard-Modelle veröffentlichen. Damals war eine unsichere Update-Funktion entdeckt worden, die unter Windows Software ohne Nutzereinwilligung nachlud und dabei unverschlüsselte HTTP-Verbindungen nutzte. Der Gigabyte Update Service lud Dateien herunter, ohne deren Authentizität zu überprüfen, was Angreifern ermöglichte, über Man-in-the-Middle-Angriffe Malware zu installieren.
Die betroffenen Nutzer hatten damals verschiedene Workarounds entwickelt: Das Deaktivieren der „APP Center Download & Install“ Funktion im BIOS, das Blockieren der entsprechenden URLs am Router oder die komplette Deinstallation des Gigabyte App Centers. Viele Nutzer kritisierten, dass die Firmware-Update-Funktion standardmäßig aktiviert war und ohne Zustimmung der Benutzer agierte.
Für die aktuellen Schwachstellen hat Gigabyte bereits im Juni 2023 entsprechende BIOS-Updates veröffentlicht, die die Sicherheitslücken beheben sollen. Eine stichprobenartige Prüfung bestätigt, dass das Unternehmen zahlreiche BIOS-Updates bereitgestellt hat. Nutzer werden dringend aufgefordert, die neuesten Firmware-Versionen zu installieren, da die Angriffe bei lokaler oder Remote-Administratorzugriff ausgeführt werden können.
Das Problem zeigt die grundsätzliche Problematik von Firmware-basierten Sicherheitslücken auf: Sie operieren unterhalb des Betriebssystems und sind damit für herkömmliche Antivirenprogramme und Endpoint-Sicherheitslösungen nicht erkennbar. Die Persistenz solcher Angriffe macht sie besonders gefährlich für kritische Infrastrukturen und Unternehmensumgebungen.
Schlagwörter: Gigabyte + Binarly
(pz)
