Gigabyte motherboards vulnerable to UEFI malware bypassing Secure Boot
기가바이트 마더보드, 보안 부팅 우회 UEFI 맬웨어에 취약
수십 개의 기가바이트 마더보드 모델은 운영 체제에서 보이지 않고 재설치 후에도 살아남을 수 있는 부트킷 맬웨어를 설치할 수 있는 보안 문제에 취약한 UEFI 펌웨어를 실행합니다.
이러한 취약점을 악용하여 로컬 또는 원격 관리자 권한이 있는 공격자는 시스템 관리 모드(SMM)에서 임의의 코드를 실행할 수 있습니다. SMM은 운영 체제(OS)와 분리된 환경이며, 해당 시스템에서 더 많은 권한을 가질 수 있습니다.
OS 아래에서 코드를 실행하는 메커니즘은 저수준 하드웨어 접근 권한을 가지며 부팅 시 시작됩니다. 따라서 이러한 환경에서 악성코드는 시스템의 기존 보안 방어 체계를 우회할 수 있습니다.
UEFI(통합 확장 가능 펌웨어 인터페이스) 펌웨어는 암호화 검증을 통해 장치가 부팅 시 안전하고 신뢰할 수 있는 코드를 사용한다는 것을 보장하는 보안 부팅 기능으로 인해 보안이 강화되었습니다.
이러한 이유로 부트킷( BlackLotus , CosmicStrand , MosaicAggressor , MoonBounce , LoJax )과 같은 UEFI 수준의 맬웨어는 모든 부팅 시에 악성 코드를 배포할 수 있습니다.
많은 마더보드가 영향을 받았습니다.
4가지 취약점은 기가바이트 펌웨어 구현에 존재하며, 펌웨어 보안 회사인 Binarly의 연구원들이 발견해 카네기 멜론 대학의 CERT 조정 센터(CERT/CC)와 연구 결과를 공유했습니다.
원래 펌웨어 공급업체는 American Megatrends Inc.(AMI)로, 비공개 공개 이후 문제를 해결했지만 일부 OEM 펌웨어 빌드(예: Gigabyte)는 당시 수정 사항을 구현하지 않았습니다.
기가바이트 펌웨어 구현에서 Binarly는 다음과 같은 취약점을 발견했으며, 모두 심각도 점수 8.2를 받았습니다.
- CVE-2025-7029 : SMM 권한 상승으로 이어질 수 있는 SMI 핸들러(OverClockSmiHandler)의 버그
- CVE-2025-7028 : SMI 핸들러(SmiFlash)의 버그로 인해 시스템 관리 RAM(SMRAM)에 대한 읽기/쓰기 액세스가 가능해져 맬웨어 설치가 발생할 수 있습니다.
- CVE-2025-7027 : SMM 권한 상승 및 SMRAM에 임의의 콘텐츠를 써서 펌웨어를 수정할 수 있음
- CVE-2025-7026 : SMRAM에 대한 임의 쓰기를 허용하고 SMM에 대한 권한 상승 및 지속적인 펌웨어 손상으로 이어질 수 있음
저희 조사에 따르면 영향을 받는 마더보드 모델은 개정판, 변형판, 지역별 에디션을 포함하여 약 240개가 넘습니다. 펌웨어는 2023년 말에서 2024년 8월 중순 사이에 업데이트되었습니다.
BleepingComputer는 공식적인 집계 결과를 얻기 위해 Binarly에 연락했고, 회사 관계자는 "100개가 넘는 제품군이 영향을 받았다"고 말했습니다.
다른 기업용 기기 공급업체의 제품도 이 4가지 취약점의 영향을 받지만, 수정판이 나올 때까지 해당 제품의 이름은 공개되지 않습니다.
CERT/CC 에 따르면, Binarly 연구원들은 4월 15일에 Carnegie Mellon CERT/CC에 이 문제에 대해 통보했고, Gigabyte는 6월 12일에 이 취약점을 확인한 뒤 펌웨어 업데이트를 출시했습니다 .
하지만 해당 OEM은 Binarly가 보고한 보안 문제에 대한 보안 공지를 게시하지 않았습니다. BleepingComputer는 해당 하드웨어 공급업체에 이메일로 의견을 요청했지만, 아직 답변을 기다리고 있습니다.
한편, Binarly의 설립자 겸 CEO인 알렉스 마트로소프는 BleepingComputer와의 인터뷰에서 기가바이트가 아직 보안 패치를 출시하지 않았을 가능성이 높다고 밝혔습니다. 이미 많은 제품이 지원 종료된 상태이기 때문에 사용자는 보안 업데이트를 기대해서는 안 됩니다.
"이러한 4가지 취약점이 모두 AMI 참조 코드에서 비롯되었기 때문에 AMI는 얼마 전 NDA에 따라 유료 고객에게만 이러한 취약점을 무단으로 공개했으며, 이로 인해 취약한 상태를 유지하고 패치를 적용하지 않은 다운스트림 공급업체에 수년간 상당한 영향을 미쳤습니다." - Alex Matrosov
"기가바이트는 아직 어떤 수정 사항도 발표하지 않은 것 같고, 영향을 받은 장치 중 상당수가 수명이 다한 상태이므로 앞으로도 무기한 취약한 상태로 남을 가능성이 높습니다."
일반 소비자의 경우 위험성은 확실히 낮지만, 중요한 환경에 있는 사람들은 Binarly의 Risk Hunt 스캐너 도구를 사용하여 특정 위험을 평가할 수 있습니다 . 이 도구에는 4가지 취약점에 대한 무료 감지 기능이 포함되어 있습니다.
기가바이트 마더보드를 사용하는 다양한 OEM의 컴퓨터는 취약할 수 있으므로 사용자는 펌웨어 업데이트를 모니터링하고 즉시 적용하는 것이 좋습니다.
업데이트[7월 14일 오후 1시 23분 EST]: Binarly의 코멘트로 기사가 업데이트되었습니다. 이 코멘트에 따르면 4가지 취약점은 100개가 넘는 마더보드에 영향을 미치며 다른 공급업체의 제품도 영향을 받습니다.
업데이트[7월 15일 오전 2시 15분 EST]: 이 기사를 게시한 후 Gigabyte에서 보안 공지를 게시했는데 , 여기에는 Binarly가 발견한 4가지 취약점 중 3가지가 포함되었습니다.
SMM 모듈의 여러 SMM 메모리 손상 취약점CVE-2025-7026, CVE-2025-7027, CVE-2025-7029 2025년 7월 10일 GIGA-BYTE Technology Co., Ltd.는 Binarly REsearch로부터 여러 기존 GIGABYTE/AORUS 소비자용 메인보드에 사용되는 시스템 관리 모드(SMM) 모듈의 여러 메모리 손상 취약점에 대한 정보를 받았습니다. 이 취약점은 영향을 받는 SMM 모듈이 구현된 구형 Intel 플랫폼에서만 존재하며, 최신 플랫폼에는 영향을 미치지 않습니다. 이러한 취약점을 성공적으로 악용할 경우, 로컬 액세스 권한을 가진 공격자가 권한이 높은 SMM 환경 내에서 권한을 상승시키거나 임의 코드를 실행할 수 있습니다. Binarly의 책임 있는 정보 공개 덕분에 문제를 신속하게 평가하고 영향을 받는 기존 제품에 대한 완화 조치를 시작할 수 있었습니다. 더 넓은 PC 생태계의 보안에 기여해 주신 Binarly에 감사드립니다. GIGABYTE는 이러한 문제를 적극적으로 해결하고 있으며 다음 일정에 따라 BIOS 업데이트를 출시하고 있습니다. 영향을 받는 플랫폼은 다음과 같습니다(이에 국한되지 않음).
나열된 제품을 사용하는 고객은 최신 BIOS 버전이 출시되는 즉시 업데이트하는 것이 좋습니다. |
출처: https://www.bleepingcomputer.com/news/security/gigabyte-motherboards-vulnerable-to-uefi-malware-bypassing-secure-boot/
