Das Cybersecurity-Unternehmen Binarly hat schwerwiegende Sicherheitsl\u00fccken in Gigabyte-Mainboards aufgedeckt, die Angreifern Ring-2-Zugriff erm\u00f6glichen und damit alle Schutzma\u00dfnahmen des Betriebssystems umgehen k\u00f6nnen. Die Schwachstellen betreffen den System Management Mode der UEFI-Firmware und erm\u00f6glichen es Angreifern, beliebigen Code auszuf\u00fchren, der selbst Betriebssystem-Neuinstallationen \u00fcbersteht.<\/p>\n
Die vier entdeckten Sicherheitsl\u00fccken (CVE-2025-7029, CVE-2025-7028, CVE-2025-7027, CVE-2025-7026) weisen alle einen CVSS-Score von 8,2 auf und werden als hohes Risiko eingestuft. Sie betreffen mindestens 80 Gigabyte-Modelle, teilweise auch \u00e4ltere Generationen. Die Schwachstellen erm\u00f6glichen es Angreifern, die RBX- und RCX-Register zu kontrollieren und damit ungepr\u00fcfte Zeiger zu manipulieren, was zu beliebigen Schreibzugriffen auf den System Management RAM f\u00fchrt.<\/p>\n
Die Bedrohung ist besonders gravierend, da der System Management Mode als Ring-2-Umgebung \u00fcber h\u00f6here Privilegien verf\u00fcgt als das Betriebssystem selbst. Angreifer k\u00f6nnen dadurch SMM-basierte SPI-Flash-Schutzma\u00dfnahmen gegen Modifikationen umgehen, Secure Boot und Intel BootGuard deaktivieren sowie Hypervisor-basierte Speicherisolierung aushebeln. Der eingeschleuste Code kann w\u00e4hrend des Bootvorgangs, in Wiederherstellungsmodi oder sogar vor dem vollst\u00e4ndigen Laden des Betriebssystems ausgef\u00fchrt werden.<\/p>\n
Die Schwachstellen wurden bereits fr\u00fcher an American Megatrends International (AMI) gemeldet und gepatcht, sind jedoch in den Gigabyte-Firmware-Builds wieder aufgetaucht. Dies verdeutlicht kritische L\u00fccken in der Firmware-Lieferkette, wo Sicherheitspatches nicht zu den Endnutzern durchdringen, wenn OEM-Anbieter ihre Update-Prozesse nicht mit den Upstream-Lieferanten synchronisieren.<\/p>\n
Diese Entdeckung reiht sich in eine Serie von Sicherheitsproblemen bei Gigabyte ein. Bereits im Juni 2023 musste das Unternehmen nach einem Bericht von Eclypsium BIOS-Updates f\u00fcr \u00fcber 270 Mainboard-Modelle ver\u00f6ffentlichen. Damals war eine unsichere Update-Funktion entdeckt worden, die unter Windows Software ohne Nutzereinwilligung nachlud und dabei unverschl\u00fcsselte HTTP-Verbindungen nutzte. Der Gigabyte Update Service lud Dateien herunter, ohne deren Authentizit\u00e4t zu \u00fcberpr\u00fcfen, was Angreifern erm\u00f6glichte, \u00fcber Man-in-the-Middle-Angriffe Malware zu installieren.<\/p>\n
Die betroffenen Nutzer hatten damals verschiedene Workarounds entwickelt: Das Deaktivieren der „APP Center Download & Install“ Funktion im BIOS, das Blockieren der entsprechenden URLs am Router oder die komplette Deinstallation des Gigabyte App Centers. Viele Nutzer kritisierten, dass die Firmware-Update-Funktion standardm\u00e4\u00dfig aktiviert war und ohne Zustimmung der Benutzer agierte.<\/p>\n
F\u00fcr die aktuellen Schwachstellen hat Gigabyte bereits im Juni 2023 entsprechende BIOS-Updates ver\u00f6ffentlicht, die die Sicherheitsl\u00fccken beheben sollen. Eine stichprobenartige Pr\u00fcfung best\u00e4tigt, dass das Unternehmen zahlreiche BIOS-Updates bereitgestellt hat. Nutzer werden dringend aufgefordert, die neuesten Firmware-Versionen zu installieren, da die Angriffe bei lokaler oder Remote-Administratorzugriff ausgef\u00fchrt werden k\u00f6nnen.<\/p>\n
Das Problem zeigt die grunds\u00e4tzliche Problematik von Firmware-basierten Sicherheitsl\u00fccken auf: Sie operieren unterhalb des Betriebssystems und sind damit f\u00fcr herk\u00f6mmliche Antivirenprogramme und Endpoint-Sicherheitsl\u00f6sungen nicht erkennbar. Die Persistenz solcher Angriffe macht sie besonders gef\u00e4hrlich f\u00fcr kritische Infrastrukturen und Unternehmensumgebungen.<\/p>\n
Schlagw\u00f6rter: Gigabyte + Binarly
(pz)<\/p>\n","protected":false},"excerpt":{"rendered":"
Das Cybersecurity-Unternehmen Binarly hat schwerwiegende Sicherheitsl\u00fccken in Gigabyte-Mainboards aufgedeckt, die Angreifern Ring-2-Zugriff erm\u00f6glichen und damit alle Schutzma\u00dfnahmen des Betriebssystems umgehen k\u00f6nnen. Die Schwachstellen betreffen den System Management Mode der UEFI-Firmware und erm\u00f6glichen es Angreifern, beliebigen Code auszuf\u00fchren, der selbst Betriebssystem-Neuinstallationen \u00fcbersteht. Die vier entdeckten Sicherheitsl\u00fccken (CVE-2025-7029, CVE-2025-7028, CVE-2025-7027, CVE-2025-7026) weisen...<\/p>\n","protected":false},"author":6,"featured_media":13683,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-13684","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13684","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=13684"}],"version-history":[{"count":2,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13684\/revisions"}],"predecessor-version":[{"id":13691,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13684\/revisions\/13691"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/13683"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=13684"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=13684"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=13684"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}