CERT: Große Sicherheitslücke bei Mainboards

Worum geht es?

Gigabyte, ein Hersteller von Computer‑Mainboards, bietet in einigen seiner UEFI‑Firmwareversionen (also der Software, die beim Starten des Computers läuft) Schwachstellen. Diese betreffen einen besonders sensiblen Bereich namens SMM (System Management Mode), der wesentlich tiefgehender ist als das Betriebssystem.

Was ist das Problem?

In diesem SMM-Modus gibt es Programmteile (so genannte „Callouts“), die Eingaben nicht korrekt prüfen. Ein Angreifer mit Administratorzugriff im Betriebssystem könnte das ausnutzen, um eigene Befehle im extrem geschützten SMM-Bereich auszuführen – und das schon bevor das Betriebssystem vollständig gestartet ist.

Welche Gefahren entstehen?

1. Unkontrollierte Firmware-Manipulation – Ein Angreifer kann Teile der Firmware verändern.
2. Deaktivierung von Sicherheitsmechanismen – Dinge wie Secure Boot könnten ausgeschaltet werden, wodurch weitere Schadsoftware dauerhaft installiert bleibt.
3. Nur schwer aufspürbar – Da SMM unterhalb des Betriebssystems agiert, erkennen Virenscanner und Firewalls solche Angriffe meist nicht.

Welche Schwachstellen genau wurden gefunden?

Es wurden vier Schwachstellen in Gigabyte-UEFI entdeckt, die über fehlerhafte Zeigersteuerung (z. B. durch Register wie RBX, RCX) Angriffe erlauben:

• CVE‑2025‑7029: unkontrollierte Zeiger für Leistungs- und Thermalkonfiguration
• CVE‑2025‑7028: fehlerhafte Überprüfung von Funktionszeigern zum Zugriff auf Flash‑Speicher
• CVE‑2025‑7027: doppelte Zeiger-Dereferenzierung bei NVRAM‑Variablen
• CVE‑2025‑7026: weiteres unkontrolliertes Schreiben in geschützten Speicher

Was kann man tun?

• Firmware‐Update installieren!
  Gigabyte hat aktualisierte UEFI‑Versionen veröffentlicht, die diese Sicherheitslücken schließen. Nutzer sollten auf der Gigabyte‑Support‑Seite prüfen, ob ihr Gerät betroffen ist und das Update installieren.
• Vorsicht für andere Hersteller!
  Auch andere Hersteller, die AMI‑Firmware verwenden, könnten betroffen sein. Es ist sinnvoll, regelmäßig nach entsprechenden Updates zu suchen.

Kurzfassung:

• Wer? Gigabyte‑Mainboards mit bestimmter UEFI-Firmware.
• Was? Schwerwiegende Sicherheitslücken im SMM-Bereich, der tief unter dem Betriebssystem liegt.
• Warum gefährlich? Ermöglichen dauerhaften Schadcode, umgehen Sicherheitsfunktionen, und sind schwer nachweisbar.
• Lösung: Dringend verfügbare Firmware‑Updates installieren.

Wenn du Mainboards von Gigabyte (oder anderen Herstellern) nutzt und UEFI‑Updates verfügbar sind, solltest du sie möglichst bald durchführen – das schützt vor hochentwickelten Angriffen.

Quellen: https://www.heise.de/news/CERT-warnt-vor-UEFI-Sicherheitsluecken-in-Gigabyte-Firmware-10485906.html, https://kb.cert.org/vuls/id/746790