Gigabyten emolevyt vaarassa: UEFI-haavoittuvuudet mahdollistavat näkymättömän bootkitin asentamisen
Yli 240 Gigabyten Intel-emolevyä on todettu alttiiksi neljälle vakavalle UEFI-tason haavoittuvuudelle, jotka mahdollistavat pysyvän ja käyttöjärjestelmän näkymättömissä olevan haittaohjelman asentamisen. Nämä haavoittuvuudet sijaitsevat System Management Mode (SMM) -tason koodissa, joka suoritetaan ennen käyttöjärjestelmän käynnistystä – eikä ole tavallisten virustorjuntojen nähtävissä tai estettävissä.
Vakavat haavoittuvuudet BIOSin pohjarakenteessa
Tietoturvayhtiö Binarly paljasti, että ongelmat juontavat juurensa American Megatrendsin (AMI) toimittamaan BIOS-viitekoodiin. Kyseinen koodi jaettiin laitevalmistajille alkuvuodesta 2025 salassapitosopimusten alla. AMI julkaisi hiljaisesti korjauksia, mutta kaikki valmistajat – mukaan lukien Gigabyte – eivät siirtäneet korjauksia loppukäyttäjien saataville.
Neljällä CVE-koodatulla haavoittuvuudella on korkea CVSS-pistemäärä 8,2 (asteikolla 0–10), mikä viittaa merkittävään riskiin. Kyseiset haavoittuvuudet ovat:
CVE-2025-7029: Ylivuoto SMI-käsittelijässä
OverClockSmiHandler, mikä mahdollistaa oikeuksien korotuksen SMM-tilaan.CVE-2025-7028:
SmiFlash-komponentti sallii luvattoman luku- ja kirjoitusoikeuden System Management RAM -muistiin (SMRAM), mahdollistaen haittaohjelman asennuksen.CVE-2025-7027: Mahdollistaa mielivaltaisen datan kirjoittamisen SMRAM-muistiin ja SMM-oikeuksien saamisen.
CVE-2025-7026: Sallii täysin vapaamuotoiset kirjoitukset SMRAM:iin, mikä voi johtaa pysyvään firmware-kompromissiin ja hallinnan menettämiseen.
Pysyvä haittakoodi käyttöjärjestelmän alapuolella
Koska haavoittuvuudet sijaitsevat SMM-tilassa, hyökkääjä voi asentaa bootkitin, joka toimii täysin käyttöjärjestelmän ja virustorjunnan ulottumattomissa. Haittaohjelma suoritetaan heti käynnistyksen yhteydessä, ja se:
selviää jopa käyttöjärjestelmän uudelleenasennuksesta
ohittaa Secure Boot -tarkistukset
antaa hyökkääjälle täydellisen ja pysyvän hallinnan koneeseen
Tunnettuja UEFI-tasolla toimivia haittaohjelmia ovat mm. BlackLotus, CosmicStrand, MoonBounce ja LoJax – kaikki hyödyntävät vastaavaa arkkitehtuuria saavuttaakseen täydellisen hallinnan ilman käyttäjän havaintoa1.
Ketkä ovat vaarassa?
Gigabyten mukaan haavoittuvuudet koskevat vain Intel-pohjaisia emolevyjä. Altistuneisiin sarjoihin kuuluvat muun muassa:
H110, Z170, H270, Z370, B365, Z390
H410, Z490, Z590, B560, H510
Q-sarjan ja W480-ammattilaissarjan emolevyt
Yhteensä yli 240 eri mallia, mukaan lukien revisiot ja aluekohtaiset versiot
Valitettavasti osa näistä malleista on jo luokiteltu end-of-life (EOL) -laitteiksi, mikä tarkoittaa, että ne eivät todennäköisesti saa enää korjauspäivityksiä. Binarly kertoo lisäksi, että myös muiden OEM-valmistajien tuotteita saattaa olla vaarassa, mutta näiden nimiä ei julkaista ennen kuin valmistajat ovat valmiita tarjoamaan korjaukset.
Kuinka suojautua?
Gigabyte julkaisi turvatiedotteen 15. heinäkuuta 2025 – vasta sen jälkeen kun haavoittuvuudet tulivat julkisuuteen. Tiedote käsittelee vain kolmea neljästä haavoittuvuudesta. Käyttäjiä suositellaan toimimaan seuraavasti:
Päivitä BIOS käyttämällä Gigabyten Q-Flash-työkalua – päivitykset löytyvät valmistajan tukisivustolta.
Ota Secure Boot uudelleen käyttöön, mikäli se on ollut pois päältä.
Aja Binarlyn ilmainen Risk Hunt -skanneri, joka tunnistaa nämä neljä haavoittuvuutta.
Lisätoimenpiteitä voivat olla:
Käyttöoikeuksien rajoittaminen – hyökkäys vaatii pääkäyttäjätason oikeuksia.
BIOS-päivitysten sisällyttäminen osaksi organisaation tietoturvakäytäntöjä.
Kaikkien järjestelmän hallintaan oikeutettujen käyttäjien tunnistaminen ja hallinta.
Miksi tämä on merkittävää?
Binarlyn toimitusjohtaja Alex Matrosov kiteyttää tilanteen näin:
“Nämä haavoittuvuudet juontavat juurensa AMI:n viitekoodiin (Reference code), joka jaettiin maksaville asiakkaille salassapitosopimuksin. Tämä johti siihen, että useat alihankkijat jäivät vuosiksi haavoittuviksi ilman korjauksia.”
Tilanne osoittaa, kuinka vaarallinen alustatason Reference code voi olla koko toimitusketjulle – erityisesti, kun sitä ei auditoida tai päivitetä avoimesti. Haavoittuvuudet voivat kulkeutua valmistajalta toiselle ilman käyttäjän tai edes laitevalmistajan aktiivista huomiota.
BIOS ei ole enää koskematon
UEFI-firmware ei ole vain tekninen osa koneen käynnistystä, vaan yhä kriittisempi osa koko tietoturvaketjua. Nämä neljä haavoittuvuutta osoittavat, että firmwaren suojaaminen on yhtä tärkeää kuin käyttöjärjestelmän – ellei tärkeämpää.
Jos käytössäsi on Gigabyte-emolevy, tarkista mallisi välittömästi. On mahdollista, että se kuuluu haavoittuviin – ja että siinä on jo turvallisuuspuutteita, joita ei voi korjata ilman valmistajan BIOS-päivitystä.
