¿Qué es más peligroso que un virus y menos visible para un antivirus? Tu placa base Gigabyte

Las placas base de Gigabyte resultaron ser vulnerables a cuatro problemas críticos en el firmware UEFI, que permiten a los atacantes insertar código malicioso antes del arranque del sistema operativo. Estos ataques pueden pasar desapercibidos para los sistemas de protección tradicionales y persistir incluso después de reinstalar el sistema operativo.

Las vulnerabilidades afectan al System Management Mode (SMM), un modo de operación especial que posee privilegios superiores a los del propio sistema operativo. La infiltración de código malicioso en esta área permite obtener control total sobre el sistema y eludir cualquier medida de seguridad, incluyendo antivirus, cifrado y control de integridad.

Aunque UEFI se considera un estándar más seguro gracias a la función Secure Boot, que verifica criptográficamente la legitimidad del código que se ejecuta, el malware a nivel de firmware aún puede sortear estos mecanismos. Componentes maliciosos como BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce y LoJax utilizan este enfoque para mantenerse de forma permanente en el sistema.

El equipo de Binarly, especializado en seguridad de firmware, descubrió cuatro vulnerabilidades peligrosas en el firmware de Gigabyte, basado en código de American Megatrends Inc. (AMI). Aunque AMI ya ha corregido los problemas, algunas compilaciones, incluyendo las de Gigabyte, no han implementado estas actualizaciones. Las vulnerabilidades descubiertas incluyen:

• CVE-2025-7029 — error en el manejador OverClockSmiHandler, que permite elevar privilegios al nivel SMM;
• CVE-2025-7028 — vulnerabilidad en SmiFlash que da acceso de lectura y escritura al área protegida SMRAM, lo que abre la puerta a la instalación de código malicioso;
• CVE-2025-7027 — posibilidad de escritura arbitraria en SMRAM y modificación del firmware;
• CVE-2025-7026 — escritura arbitraria en SMRAM seguida de la toma de control a nivel SMM.

Todas las vulnerabilidades recibieron puntuaciones altas según la escala CVSS y afectan a más de 240 modelos de placas base Gigabyte, incluyendo sus versiones regionales y revisiones de hardware. Las actualizaciones cubren dispositivos lanzados desde finales de 2023 hasta mediados de agosto de 2024.

A pesar de que AMI distribuyó las correcciones a un grupo limitado de clientes bajo acuerdo de confidencialidad, muchos fabricantes, incluyendo Gigabyte, no recibieron actualizaciones fiables. Además, un número significativo de dispositivos afectados ya alcanzó el estado de «fin de vida útil» (End-of-Life), es decir, ya no cuentan con soporte oficial ni recibirán más actualizaciones de seguridad.

Gigabyte confirmó las vulnerabilidades el 12 de junio tras la notificación de Binarly y Carnegie Mellon CERT/CC, sin embargo, no emitió una notificación pública ni, al parecer, proporcionó correcciones a los usuarios. Algunos fabricantes OEM que utilizan placas de Gigabyte también están en riesgo, pero sus nombres no se han divulgado hasta que se publiquen las actualizaciones.

Alex Matrosov, director de Binarly, señaló que Gigabyte probablemente no tiene intención de solucionar el problema, y que, debido a la forma encubierta en la que AMI distribuyó las vulnerabilidades, los fabricantes permanecieron expuestos durante largo tiempo. Añadió que, considerando el fin de soporte para varios dispositivos, una parte considerable de los sistemas permanecerá en riesgo de forma indefinida.

Aunque el riesgo para usuarios comunes se considera moderado, en infraestructuras críticas la amenaza puede ser grave. Para evaluar el nivel de vulnerabilidad, el equipo de Binarly ofrece una herramienta gratuita llamada Risk Hunt, que permite determinar si una determinada máquina presenta estos cuatro problemas.

Se recomienda a los usuarios monitorear la disponibilidad de actualizaciones de firmware e instalarlas de inmediato, especialmente si utilizan hardware de Gigabyte.