Mainboard ของ Gigabyte มากกว่าร้อยรุ่นที่ใช้ UEFI firmware มีช่องโหว่ด้านความปลอดภัย ที่อาจทำให้ผู้โจมตีสามารถฝังมัลแวร์ประเภท bootkit ซึ่งเป็นมัลแวร์ที่ระบบปฏิบัติการไม่สามารถตรวจจับได้ และยังคงแฝงตัวอยู่ได้แม้ผู้ใช้จะทำการติดตั้งระบบปฏิบัติการใหม่แล้วก็ตาม
ช่องโหว่เหล่านี้อาจทำให้ผู้โจมตีที่มีสิทธิ์ในระดับผู้ดูแลระบบ (ทั้งแบบเข้าถึงจากเครื่องโดยตรง หรือจากระยะไกล) สามารถเรียกใช้โค้ดใด ๆ ก็ได้ตามต้องการใน System Management Mode (SMM) ซึ่งเป็นสภาพแวดล้อมที่แยกออกจากระบบปฏิบัติการ (OS) และมีสิทธิ์ในการเข้าถึงเครื่องที่มากกว่า
กลไกที่ทำงานในระดับที่ต่ำกว่าระบบปฏิบัติการ (OS) จะสามารถเข้าถึงฮาร์ดแวร์ได้โดยตรง และเริ่มทำงานตั้งแต่ตอนบูตเครื่อง ด้วยเหตุนี้ มัลแวร์ที่แฝงตัวอยู่ในสภาพแวดล้อมดังกล่าวจึงสามารถ bypass การป้องกันความปลอดภัยแบบมาตรฐานที่มีอยู่ในระบบได้
UEFI หรือ Unified Extensible Firmware Interface เป็น firmware ที่มีความปลอดภัยมาก เนื่องจากมีฟีเจอร์ Secure Boot ที่ใช้ในการตรวจสอบด้วยวิธีการเข้ารหัส เพื่อให้แน่ใจว่าโค้ดที่อุปกรณ์ใช้ในการบูตเครื่องนั้นปลอดภัย และเชื่อถือได้
ด้วยเหตุนี้ มัลแวร์ระดับ UEFI อย่าง bootkit ที่มีชื่อเสียง เช่น เช่น BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce และ LoJax จึงสามารถฝังโค้ดที่เป็นอันตรายให้ทำงานได้ทุกครั้งที่มีการเปิดเครื่อง
Mainboards จำนวนมากที่ได้รับผลกระทบ
ช่องโหว่ทั้ง 4 รายการนี้ ถูกพบใน firmware ที่ Gigabyte นำมาใช้งาน โดยถูกค้นพบโดยนักวิจัยจากบริษัทด้านความปลอดภัย firmware ที่ชื่อ Binarly ซึ่งได้แบ่งปันข้อมูลการค้นพบนี้กับศูนย์ประสานงาน CERT (CERT/CC) ของมหาวิทยาลัย Carnegie Mellon
Supplier ของ firmware รายหลักคือบริษัท American Megatrends Inc. (AMI) ซึ่งได้แก้ไขช่องโหว่เหล่านี้แล้วหลังจากที่ได้รับแจ้งเป็นการส่วนตัว แต่ firmware บางรุ่นของ OEM บางรายที่นำไปใช้นั้น (เช่น ของ Gigabyte) กลับยังไม่ได้นำแพตช์แก้ไขดังกล่าวไปปรับใช้ในขณะนั้น
ใน firmware ของ Gigabyte นักวิจัยจาก Binarly พบช่องโหว่ดังต่อไปนี้ ซึ่งทั้งหมดมีคะแนนความรุนแรงในระดับสูงที่ 8.2 คะแนน :
- CVE-2025-7029: ช่องโหว่ใน SMI handler (OverClockSmiHandler) ที่อาจทำให้เกิดการยกระดับสิทธิ์ใน SMM (System Management Mode) ได้
- CVE-2025-7028: ช่องโหว่ใน SMI handler (SmiFlash) ที่อาจทำให้สามารถเข้าถึงเพื่ออ่าน/เขียนหน่วยความจำ SMRAM (System Management RAM) ซึ่งอาจนำไปสู่การติดตั้งมัลแวร์ได้
- CVE-2025-7027: ช่องโหว่ที่สามารถทำให้เกิดการยกระดับสิทธิ์ใน SMM และการแก้ไข firmware โดยการเขียนข้อมูลใด ๆ ก็ได้ลงใน SMRAM
- CVE-2025-7026: ช่องโหว่ที่อนุญาตให้เขียนข้อมูลใด ๆ ก็ได้ลงใน SMRAM ซึ่งสามารถทำให้เกิดการยกระดับสิทธิ์เป็น SMM และทำให้ firmware ถูกควบคุมอย่างถาวร
จากการคำนวณ พบว่ามี Mainboard ที่ได้รับผลกระทบมีมากกว่า 240 รุ่น (ซึ่งรวมถึงรุ่นที่แก้ไข, รุ่นย่อย และรุ่นที่จำหน่ายเฉพาะภูมิภาค) โดยเป็น firmware ที่อัปเดตระหว่างช่วงปลายปี 2023 ถึงกลางเดือนสิงหาคม 2024
BleepingComputer ได้ติดต่อสอบถามไปยัง Binarly เพื่อขอทราบจำนวนรุ่นที่ได้รับผลกระทบอย่างเป็นทางการ และตัวแทนของบริษัทระบุว่า “มีสายผลิตภัณฑ์ที่ได้รับผลกระทบมากกว่าหนึ่งร้อยรายการ”
ผลิตภัณฑ์จากผู้จำหน่ายอุปกรณ์ระดับองค์กรรายอื่น ๆ ก็ได้รับผลกระทบจากช่องโหว่ทั้ง 4 รายการนี้เช่นกัน แต่ยังไม่มีการเปิดเผยรายชื่อบริษัทเหล่านั้นจนกว่าจะมีการปล่อยแพตช์แก้ไขออกมา
ตามรายงานของ CERT/CC ระบุว่า นักวิจัยจาก Binarly ได้แจ้งปัญหาเหล่านี้ต่อ CERT/CC ของมหาวิทยาลัย Carnegie Mellon เมื่อวันที่ 15 เมษายน และทาง Gigabyte ได้ยืนยันเรื่องของช่องโหว่ดังกล่าวเมื่อวันที่ 12 มิถุนายนที่ผ่านมา ก่อนจะเริ่มปล่อยอัปเดตเฟิร์มแวร์ออกมา
อย่างไรก็ตาม ทางผู้ผลิต (OEM) ยังไม่ได้เผยแพร่ประกาศด้านความปลอดภัยอย่างเป็นทางการ เกี่ยวกับปัญหาด้านความปลอดภัยที่ Binarly รายงาน และทาง BleepingComputer ได้ส่งอีเมลสอบถามไปยัง Gigabyte แล้ว แต่ยังไม่ได้รับการตอบกลับ
ในขณะเดียวกัน Alex Matrosov (CEO) ของ Binarly ได้แจ้งกับ BleepingComputer โดยระบุว่า มีความเป็นไปได้สูงที่ Gigabyte จะยังไม่ได้ปล่อยแพตช์แก้ไขออกมา โดยให้เหตุผลว่าผลิตภัณฑ์หลายรุ่นได้สิ้นสุดระยะเวลาการสนับสนุน (End-of-Life) ไปแล้ว ซึ่งหมายความว่าผู้ใช้ไม่ควรคาดหวังว่าจะได้รับการอัปเดตด้านความปลอดภัยใด ๆ อีก
"เนื่องจากช่องโหว่ทั้ง 4 รายการนี้ มีต้นตอมาจากโค้ดอ้างอิงของ AMI ทาง AMI จึงได้เปิดเผยช่องโหว่เหล่านี้มาระยะหนึ่งแล้วผ่านการเปิดเผยข้อมูลแบบเงียบ ๆ ให้กับลูกค้าที่ชำระเงินภายใต้ข้อตกลงห้ามเปิดเผยข้อมูล (NDA) เท่านั้น และสิ่งนี้ได้สร้างผลกระทบอย่างรุนแรงมาเป็นเวลาหลายปีต่อผู้ผลิตอุปกรณ์รายย่อย ที่ยังคงใช้เฟิร์มแวร์ที่มีช่องโหว่ และยังไม่ได้รับการแก้ไข"
"ดูเหมือนว่า Gigabyte จะยังไม่ได้ปล่อยแพตช์แก้ไขใด ๆ ออกมา และอุปกรณ์จำนวนมากที่ได้รับผลกระทบก็ได้เข้าสู่สถานะสิ้นสุดการสนับสนุน (End-of-Life) ไปแล้ว ซึ่งหมายความว่าอุปกรณ์เหล่านั้นอาจจะยังคงมีช่องโหว่ต่อไปอย่างไม่มีกำหนด"
แม้ว่าความเสี่ยงสำหรับผู้ใช้งานทั่วไปจะค่อนข้างต่ำ แต่สำหรับองค์กร หรือผู้ใช้ที่อยู่ในสภาพแวดล้อมที่มีความสำคัญสูง สามารถประเมินความเสี่ยงเฉพาะของอุปกรณ์ตนเองได้ด้วยเครื่องมือตรวจสอบ Risk Hunt ของ Binarly ซึ่งมีระบบตรวจจับช่องโหว่ทั้ง 4 รายการนี้ให้ใช้งานได้ฟรี
คอมพิวเตอร์จากผู้ผลิตหลายราย (OEM) ที่ใช้ Mainboard ของ Gigabyte อาจมีความเสี่ยงจากช่องโหว่เหล่านี้ ดังนั้นจึงแนะนำให้ผู้ใช้งานติดตามการอัปเดต firmware อย่างใกล้ชิด และทำการติดตั้งทันทีเมื่อมีการปล่อยอัปเดตออกมา
อัปเดต [14 กรกฎาคม เวลา 00:23 น.]: ข่าวนี้ได้รับการอัปเดตพร้อมความคิดเห็นจาก Binarly ที่ระบุว่าช่องโหว่ทั้ง 4 รายการส่งผลกระทบต่อ Mainboard มากกว่า 100 รุ่น และและยังมีผลิตภัณฑ์จากผู้ผลิตรายอื่นที่ได้รับผลกระทบด้วยเช่นกัน
อัปเดต [15 กรกฎาคม เวลา 13:15 น.]: หลังจากที่ข่าวนี้ถูกเผยแพร่ออกไป ทาง Gigabyte ได้ออกประกาศด้านความปลอดภัย ซึ่งครอบคลุมช่องโหว่ 3 จาก 4 รายการที่ Binarly ค้นพบ
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.