อัปเดตด่วน! เมนบอร์ด Gigabyte เสี่ยงถูกโจมตีระดับ Firmware

🔒 ช่องโหว่ UEFI ในเมนบอร์ด Gigabyte

นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ร้ายแรงในฟาร์มแวร์ UEFI ของเมนบอร์ด Gigabyte กว่า 240 รุ่น ซึ่งอาจเปิดทางให้ผู้โจมตีสามารถติดตั้งมัลแวร์ประเภท Bootkit ที่ทำงานในระดับฟาร์มแวร์ โดยสามารถหลบหนีจากเครื่องมือป้องกันระดับระบบปฏิบัติการและอยู่รอดได้แม้เปลี่ยนฮาร์ดแวร์ 💻¹

🔍 ช่องโหว่ที่ค้นพบ

ทีมวิจัยจาก Binarly ค้นพบช่องโหว่ทั้งสี่ที่มีคะแนนความรุนแรง 8.2/10 ในโมดูล System Management Mode (SMM) ของฟาร์มแวร์ UEFI² ซึ่งช่องโหว่เหล่านี้อยู่ในอุปกรณ์ Gigabyte ที่ใช้ AMI firmware stack โดยเฉพาะภายในโมดูล OverClockSmiHandler ใน SMM code³

CVE-2025-7029

ช่องโหว่การเสียหายของหน่วยความจำผ่านการใช้งาน RBX register ที่ไม่ได้รับการตรวจสอบ ทำให้ผู้โจมตีสามารถควบคุมตัวชี้ไปยัง OcHeader และ OcData ส่งผลให้เกิดการเขียนข้อมูลโดยพลการไปยัง SMRAM³

CVE-2025-7028

การเขียนทับ function pointer ผ่านการจัดการ RBX และ RCX ทำให้ผู้โจมตีสามารถควบคุม FuncBlock ซึ่งเป็นโครงสร้างที่ใช้สำหรับการดำเนินการแฟลชเมมอรี่ เช่น ReadFlash, WriteFlash และ EraseFlash³

CVE-2025-7027

การยกเลิกการอ้างอิงตัวชี้สองครั้งด้วย NVRAM และ RBX ที่ผู้โจมตีควบคุม ช่วยให้เกิดการเขียนหน่วยความจำโดยพลการจากข้อมูลที่ไม่ได้รับการตรวจสอบ ทำให้สามารถกำหนดเป้าหมายไปยัง SMRAM ได้อย่างแม่นยำ³

CVE-2025-7026

การใช้ตัวชี้ที่ไม่ได้รับการตรวจสอบในฟังก์ชัน CommandRcx0 เป็นอีกหนึ่งช่องทางในการเขียน SMRAM โดยผู้โจมตีสามารถควบคุมตำแหน่งการเขียนได้อย่างสมบูรณ์ผ่าน RBX³

⚠️ ความเสี่ยงและผลกระทบ

🚨 ความเสี่ยงสูง

ช่องโหว่แต่ละตัวให้เส้นทางที่แยกต่างหากในการทำลายระบบป้องกันฟาร์มแวร์และติดตั้งโค้ดที่เป็นอันตรายที่คงอยู่ตลอดการรีบูต การติดตั้งใหม่ และแม้กระทั่งการเปลี่ยนฮาร์ดแวร์³

ช่องโหว่เหล่านี้สามารถถูกใช้ประโยชน์โดยผู้โจมตีที่มีสิทธิ์ admin ในเครื่องหรือระยะไกลและสามารถถูกกระตุ้นระหว่างการบูต, การเปลี่ยนสถานะการนอน หรือการกู้คืนระบบ ซึ่งมักจะเกิดขึ้นก่อนที่ OS จะโหลด³

การโจมตีดังกล่าวอาจให้ผู้โจมตีความสามารถในการข้ามการป้องกันระดับ UEFI เช่น Secure Boot และ BootGuard และติดตั้งฟาร์มแวร์อิมแพลนต์ที่ซ่อนเร้นซึ่งตรวจจับไม่ได้ด้วยเครื่องมือระดับ OS³

🖥️ เมนบอร์ดที่ได้รับผลกระทบ

ช่องโหว่ทั้งสี่มีผลกระทบที่แตกต่างกันไปตามรุ่นของเมนบอร์ด Gigabyte (สูงสุด 240 รุ่นที่ได้รับผลกระทบ)³ โดยส่วนใหญ่เป็นเมนบอร์ดที่ใช้ Intel chipset H110, B150, และ X150/X170 รวมถึงบอร์ดสำหรับผู้บริโภคทั่วไป เกมมิ่ง และระดับ SMB³

📊 สถิติผลกระทบ

ตามการนับของ BleepingComputer มีเมนบอร์ดที่ได้รับผลกระทบมากกว่า 240 รุ่น รวมถึงการแก้ไข รูปแบบต่างๆ และเวอร์ชันเฉพาะภูมิภาค โดยมีฟาร์มแวร์ที่อัปเดตระหว่างปลายปี 2023 ถึงกลางเดือนสิงหาคม 2024² ผู้แทนของ Binarly ยืนยันว่า "มีสายผลิตภัณฑ์มากกว่าหนึ่งร้อยสายที่ได้รับผลกระทบ"²

🔄 สถานการณ์ปัจจุบัน

🔧 การแก้ไขจาก AMI

American Megatrends Inc. (AMI) ซึ่งเป็นผู้จัดหาฟาร์มแวร์ต้นฉบับได้แก้ไขปัญหาหลังจากการเปิดเผยแบบส่วนตัว แต่ OEM firmware builds บางตัว (เช่น ของ Gigabyte) ไม่ได้นำการแก้ไขมาใช้ในขณะนั้น²

ตาม CERT/CC โค้ดที่มีช่องโหว่เดียวกันนี้ได้รับการแพตช์ upstream โดย AMI ก่อนหน้านี้แล้ว แต่ถูกนำกลับมาใช้ใน downstream Gigabyte builds อาจเนื่องจากการถอยหลังหรือการจัดการซัพพลายเชนที่ผิดพลาด³

🏢 การตอบสนองของ Gigabyte

นักวิจัย Binarly แจ้งให้ Carnegie Mellon CERT/CC ทราบเกี่ยวกับปัญหานี้เมื่อวันที่ 15 เมษายน และ Gigabyte ยืนยันช่องโหว่เมื่อวันที่ 12 มิถุนายน ตามด้วยการปล่อยการอัปเดตฟาร์มแวร์ ตามรายงานของ CERT/CC²

⏰ ปัญหาระบบที่หมดอายุ

Alex Matrosov ผู้ก่อตั้งและ CEO ของ Binarly กล่าวว่า Gigabyte ส่วนใหญ่ยังไม่ได้ปล่อยการแก้ไข เนื่องจากผลิตภัณฑ์จำนวนมากได้หมดอายุการใช้งานแล้ว ผู้ใช้จึงไม่ควรคาดหวังว่าจะได้รับการอัปเดตความปลอดภัยใดๆ²

💡 คำแนะนำสำหรับผู้ใช้

👥 ผู้ใช้ทั่วไป

แม้ว่าความเสี่ยงสำหรับผู้บริโภคทั่วไปจะยอมรับได้ว่าอยู่ในระดับต่ำ แต่การโจมตีไม่ใช่เรื่องง่ายที่จะใช้ประโยชน์และต้องการความรู้ขั้นสูงและการเข้าถึงทางกายภาพ³

• ตรวจสอบแพลตฟอร์มที่ใช้ว่าได้รับผลกระทบหรือไม่
• อัปเดตฟาร์มแวร์ให้เป็นเวอร์ชันล่าสุด

🏭 สภาพแวดล้อมที่สำคัญ

สำหรับสภาพแวดล้อมโครงสร้างพื้นฐานที่สำคัญ ควรมีการจำกัดเพื่อป้องกันระบบที่อาจมีช่องโหว่³

• ใช้เครื่องมือ Risk Hunt scanner ของ Binarly
• อัปเกรดฮาร์ดแวร์ไปยังเวอร์ชันที่ยังได้รับการสนับสนุน

🎯 ความหมายต่อวงการ

Gunter Ollmann CTO ของ Cobalt กล่าวว่า "ช่องโหว่ฟาร์มแวร์เช่นนี้แสดงถึงสถานการณ์ฝันร้าย—การควบคุมที่คงอยู่และตรวจจับยากซึ่งข้ามการป้องกันระดับ OS แทบทุกอย่าง"⁵

วิวัฒนาการในกลยุทธ์ของผู้โจมตีนี้เสริมความจำเป็นในการทดสอบความปลอดภัยที่ครอบคลุมทุกชั้นของสแต็ก องค์กรควรรวมเป้าหมายระดับฟาร์มแวร์ในโปรแกรมการทดสอบการเจาะระบบ⁵

📋 บทสรุป

ช่องโหว่ UEFI ในเมนบอร์ด Gigabyte แสดงให้เห็นถึงความเสี่ยงที่ซับซ้อนของการรักษาความปลอดภัยระดับฟาร์มแวร์ 🔐 แม้ว่าความเสี่ยงสำหรับผู้ใช้ทั่วไปจะยังคงอยู่ในระดับต่ำ แต่สภาพแวดล้อมที่สำคัญควรให้ความสำคัญเป็นพิเศษ และผู้ใช้ทุกคนควรตรวจสอบและอัปเดตฟาร์มแวร์ของตนเองอย่างสม่ำเสมอ

⚡

📚 อ้างอิง

• IBM X-Force. (2025, ก.ค. 15). IBM X-Force OSINT Advisory - Gigabyte motherboards vulnerable to UEFI malware bypassing Secure Boot.
  เข้าถึงได้จาก: https://exchange.xforce.ibmcloud.com
• Toulas, B. (2025, ก.ค. 14). Gigabyte motherboards vulnerable to UEFI malware bypassing Secure Boot. BleepingComputer.
  เข้าถึงได้จาก: https://www.bleepingcomputer.com
• Mann, B. (2025, ก.ค. 14). Gigabyte Motherboards Impacted by SSM Flaws in UEFI Firmware. CyberInsider.
  เข้าถึงได้จาก: https://cyberinsider.com
• Fadilpašić, S. (2025, ก.ค. 14). A new malware is infecting Gigabyte motherboards – and there likely won't be a fix any time soon. TechRadar.
  เข้าถึงได้จาก: https://www.techradar.com
• Zorz, Z. (2025, ก.ค. 15). Vulnerable firmware for Gigabyte motherboards could allow bootkit installation. Help Net Security.
  เข้าถึงได้จาก: https://www.helpnetsecurity.com